Um novo grupo de ameaça, até então desconhecido e codinome UNK_SmudgedSerpent, foi identificado como responsável por uma série de ataques cibernéticos direcionados a acadêmicos e especialistas em relações exteriores entre junho e agosto de 2025.
Esse período coincide com o aumento das tensões geopolíticas entre Irã e Israel.
Segundo Saher Naumaan, pesquisador de segurança da Proofpoint — empresa especializada em segurança corporativa —, o grupo explorou iscas relacionadas à política interna do Irã, como mudanças sociais e investigações sobre a militarização do Corpo de Guardiões da Revolução Islâmica (IRGC).
Naumaan revelou essas informações em um relatório recente compartilhado com o portal The Hacker News.
A campanha exibiu táticas semelhantes às de ataques anteriores realizados por grupos iranianos de ciberespionagem, como TA455 (também conhecido como Smoke Sandstorm ou UNC1549), TA453 (Mint Sandstorm ou Charming Kitten) e TA450 (MuddyWater ou Mango Sandstorm).
As mensagens de e-mail apresentam todas as características típicas dos ataques Charming Kitten, com os agentes de ameaça iniciando conversas aparentemente inofensivas para atrair os alvos antes de tentar roubar suas credenciais via phishing.
Em alguns casos, os e-mails continham URLs maliciosos que levavam as vítimas a baixar instaladores MSI disfarçados como Microsoft Teams, mas que, na prática, implantavam software legítimo de Remote Monitoring and Management (RMM), como o PDQ Connect — uma técnica frequentemente associada ao grupo MuddyWater.
A Proofpoint também destacou que as mensagens se passavam por figuras importantes da política externa americana ligadas a think tanks como o Brookings Institution e o Washington Institute, com o objetivo de conferir maior credibilidade e aumentar as chances de sucesso do ataque.
As vítimas identificadas incluem mais de 20 especialistas de um think tank dos Estados Unidos, focados em políticas relacionadas ao Irã.
Em pelo menos um caso, o agente de ameaça, após receber uma resposta, exigiu confirmar a identidade do alvo e a autenticidade do endereço de e-mail antes de prosseguir com qualquer tipo de colaboração.
A mensagem dizia: “Estou entrando em contato para confirmar se um e-mail recente demonstrando interesse no projeto de pesquisa do nosso instituto foi realmente enviado por você.
A mensagem veio de um endereço que não parece ser seu e-mail principal, e queremos garantir a autenticidade antes de prosseguir.”
Em seguida, os atacantes enviaram um link para documentos supostamente a serem discutidos em uma reunião futura.
Contudo, ao clicar, a vítima era direcionada a uma página falsa destinada a capturar suas credenciais da conta Microsoft.
Em outra variação da campanha, o link simulava uma página de login do Microsoft Teams com um botão “Join now” (entrar agora).
O que ocorria após o clique permanece incerto.
A Proofpoint também observou que, depois que o alvo suspeitou da fraude, o grupo removeu a exigência de senha na página falsa de captura de credenciais, redirecionando diretamente para uma página falsa do OnlyOffice hospedada no domínio "thebesthomehealth[.]com".
Segundo Naumaan, essa referência a URLs do OnlyOffice e a domínios com temática de saúde lembra as operações do TA455, que, desde outubro de 2024, vem registrando domínios relacionados à saúde, após um longo período focado em temas aeroespaciais.
O OnlyOffice ganhou destaque recentemente, em junho de 2025, como plataforma para hospedagem desses arquivos falsos.
Na página falsa do OnlyOffice, havia um arquivo ZIP contendo um instalador MSI que, por sua vez, executava o PDQ Connect.
Os demais documentos são considerados iscas.
Há indícios de que o grupo UNK_SmudgedSerpent realizou atividades manuais ("hands-on-keyboard") para instalar ferramentas adicionais de RMM, como o ISL Online, por meio do PDQ Connect.
A razão para o uso sequencial de dois sistemas diferentes ainda é desconhecida.
Outros e-mails de phishing enviados pelo grupo também tiveram como alvo acadêmicos nos EUA, solicitando auxílio para investigar o IRGC, além de um contato em agosto de 2025 buscando colaboração em uma pesquisa sobre “O papel crescente do Irã na América Latina e as implicações para a política americana”.
“A campanha está alinhada com o interesse de inteligência do Irã, focando na análise de políticas ocidentais, pesquisa acadêmica e tecnologia estratégica”, afirmou a Proofpoint.
“A operação sugere uma cooperação crescente entre entidades de inteligência iranianas e unidades cibernéticas, representando uma mudança no ecossistema de espionagem do país.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...