Um grupo de ciberespionagem ligado ao Irã, conhecido como UNC1549, está por trás de uma nova campanha que mira empresas europeias de telecomunicações.
A operação já conseguiu infiltrar 34 dispositivos em 11 organizações por meio de uma ação de recrutamento falsa no LinkedIn.
A empresa suíça de cibersegurança PRODAFT acompanha esse grupo sob o codinome Subtle Snail, que tem ligação com o Corpo da Guarda Revolucionária Islâmica do Irã (IRGC).
As 11 empresas-alvo estão espalhadas pelo Canadá, França, Emirados Árabes Unidos, Reino Unido e Estados Unidos.
Segundo o relatório compartilhado pela PRODAFT com o The Hacker News, “o grupo age se passando por representantes de recursos humanos de entidades legítimas para contatar funcionários.
Em seguida, compromete as vítimas com uma variante da backdoor MINIBIKE, que se comunica com servidores de comando e controle (C2) usando serviços em nuvem da Microsoft Azure como proxy, dificultando a detecção”.
O UNC1549, também conhecido como TA455, está ativo desde pelo menos junho de 2022 e apresenta ligações com outros dois grupos iranianos, Smoke Sandstorm e Crimson Sandstorm (também chamados Imperial Kitten, TA456, Tortoiseshell e Yellow Liderc).
O Mandiant, empresa do Google, documentou o grupo pela primeira vez em fevereiro de 2024.
O uso de iscas tematizadas em recrutamento foi detalhado também pela empresa israelense ClearSky, que identificou a atuação desses agentes contra a indústria aeroespacial desde setembro de 2023, distribuindo famílias de malware como SnailResin e SlugResin.
Conforme a PRODAFT, “o principal objetivo do grupo é infiltrar empresas de telecomunicações, mas mantém interesse em organizações de defesa e aeroespacial para garantir acesso prolongado e roubar dados sensíveis com fins estratégicos”.
A cadeia de ataque começa com um extenso reconhecimento nas plataformas profissionais, especialmente no LinkedIn, para identificar funcionários-chave, como pesquisadores, desenvolvedores e administradores de TI que possuem acesso elevado a sistemas críticos e ambientes de desenvolvimento.
Em seguida, os atacantes enviam e-mails de spear-phishing para validar os endereços das vítimas e coletar informações adicionais antes de lançar a fase crucial da operação: a falsa campanha de recrutamento.
Para isso, criam perfis convincentes de RH no LinkedIn e abordam os alvos com ofertas de emprego inexistentes.
O objetivo é construir confiança para facilitar o sucesso do golpe.
Se a vítima demonstra interesse, ela é contatada por e-mail para agendar uma entrevista, direcionando-a a um domínio falso que imita empresas como Telespazio ou Safran Group.
Ao informar seus dados, o sistema dispara o download de um arquivo ZIP malicioso.
Dentro do arquivo ZIP há um executável que, ao ser aberto, utiliza a técnica de DLL side-loading para carregar uma DLL maliciosa chamada MINIBIKE.
Essa backdoor coleta informações do sistema e aguarda o envio de cargas adicionais — geralmente DLLs desenvolvidas em Microsoft Visual C/C++ — para executar funções como reconhecimento do ambiente, registro de teclas e clipboard, roubo de credenciais do Microsoft Outlook, coleta de dados dos navegadores Google Chrome, Brave e Microsoft Edge, além de capturar screenshots.
Um destaque é o roubo dos navegadores, que usa uma ferramenta pública chamada Chrome-App-Bound-Encryption-Decryption.
Essa técnica permite burlar as proteções de criptografia aplicadas por aplicativos limitados (app-bound encryption) implementadas pelo Google, possibilitando a extração de senhas armazenadas.
“A equipe Subtle Snail cria e envia uma DLL única e específica para cada vítima, até mesmo para coletar informações de configuração de rede”, afirma a PRODAFT.
“As DLLs maliciosas apresentam características similares na seção de exportação e são modificadas para facilitar a execução do ataque DLL side-loading, substituindo nomes de funções por strings diretas.
Essa estratégia ajuda a evitar a detecção ao fazer o arquivo parecer legítimo, mesmo realizando ações maliciosas”.
A backdoor MINIBIKE é modular e suporta 12 comandos distintos, possibilitando comunicação com o C2, navegação por arquivos e diretórios, listagem e término de processos, upload de arquivos em partes, além de rodar payloads nos formatos exe, DLL, BAT e CMD.
Além de mascarar o tráfego C2 misturando-o a comunicações legítimas da nuvem Azure e usando VPS como proxy, o malware modifica o Registro do Windows para garantir sua execução automática após o boot do sistema.
O programa também possui mecanismos anti-debugging e anti-sandbox para dificultar sua análise.
Utiliza técnicas como Control Flow Flattening e algoritmos de hashing personalizados para resolver funções da API do Windows em tempo de execução, dificultando o trabalho de engenharia reversa e o entendimento completo de seu funcionamento.
“Subtle Snail causa danos significativos ao combinar coleta de inteligência com acesso prolongado a redes críticas de telecomunicações”, alerta a PRODAFT.
“Eles não se limitam a infectar dispositivos — buscam ativamente dados sensíveis e meios para manter o controle.
Usam caminhos pré-definidos para buscar informações, focando em e-mails, configurações de VPN e outros dados que ajudam a preservar o acesso.
Também buscam arquivos confidenciais em pastas compartilhadas que podem expor segredos comerciais e dados pessoais”.
Toolkit diversificado do MuddyWater exposto
Enquanto isso, a Group-IB divulgou detalhes sobre a infraestrutura e o conjunto de malwares usados por outro grupo iraniano, patrocinado pelo Estado, conhecido como MuddyWater.
Esse grupo tem reduzido significativamente o uso de ferramentas de Remote Monitoring and Management (RMM) ao apostar em backdoors e ferramentas próprias, como:
- BugSleep (detectado em maio de 2024), backdoor em Python para execução remota de comandos e transferência de arquivos;
- LiteInject (detectado em fevereiro de 2025), um injector de executáveis portátil;
- StealthCache (detectado em março de 2025), backdoor com funcionalidades para leitura/escrita de arquivos, encerramento ou reinício, varredura de processos de segurança e roubo de credenciais e arquivos;
- Fooder (detectado em março de 2025), loader capaz de carregar, descriptografar e executar payloads criptografados em memória;
- Phoenix (detectado em abril de 2025), malware usado para implantar uma variante simplificada do BugSleep;
- CannonRat, ferramenta maliciosa para controle remoto de sistemas comprometidos;
- UDPGangster, um backdoor básico que se comunica via protocolo UDP com o servidor C2.
Ativo desde 2017, o MuddyWater é considerado parte subordinada do Ministério de Inteligência e Segurança do Irã (MOIS).
Também é conhecido pelos codinomes Boggy Serpens, Mango Sandstorm e TA450.
Historicamente, o grupo ataca setores de telecomunicações, governo, energia, defesa e infraestrutura crítica no Oriente Médio, com aumento recente de ataques voltados à Europa e aos Estados Unidos.
“Nas campanhas recentes, eles continuam usando phishing com documentos maliciosos contendo macros para infecção.
A análise da infraestrutura revelou que ativos maliciosos são hospedados na Amazon Web Services (AWS), enquanto serviços da Cloudflare protegem a infraestrutura, dificultando a análise”, explicou o pesquisador Mansour Alhmoud, da Group-IB.
“As operações persistentes do MuddyWater reforçam seu papel em apoiar as demandas de inteligência iranianas, mantendo uma aparência de negação plausível em operações cibernéticas estatais contra concorrentes regionais e alvos ocidentais.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...