O grupo de hackers MuddyWater, ligado ao Irã e também conhecido como Seedworm e Static Kitten, lançou uma ampla campanha de ciberespionagem contra pelo menos nove organizações de alto perfil em vários setores e países.
Entre as vítimas estão uma grande fabricante sul-coreana de eletrônicos, órgãos governamentais, um aeroporto internacional no Oriente Médio, fabricantes industriais na Ásia e instituições de ensino.
Pesquisadores da Symantec afirmam que o threat actor “passou uma semana dentro da rede de uma grande fabricante sul-coreana de eletrônicos em fevereiro de 2026”.
A equipe Threat Hunter Team da Symantec acredita que o atacante atuou com motivação de inteligência, com foco em roubo de dados industriais e de propriedade intelectual, espionagem governamental e acesso a clientes downstream ou redes corporativas.
A campanha do Seedworm dependeu fortemente de DLL sideloading, uma técnica comum em que software legítimo e assinado carrega DLLs maliciosas.
Dois dos binários usados no ataque foram fmapp.exe, um utilitário legítimo de áudio da Foremedia, e sentinelmemoryscanner.exe, um componente legítimo da SentinelOne.
As DLLs maliciosas, fmapp.dll e sentinelagentcore.dll, continham o ChromElevator, uma ferramenta de pós-exploração de uso comum que rouba dados armazenados em navegadores baseados em Chrome.
A Symantec também identificou que o PowerShell, usado em ataques anteriores do Seedworm, continuou sendo amplamente empregado nos incidentes mais recentes, embora os payloads fossem controlados por loaders em Node.js e não diretamente.
O PowerShell foi usado para capturar screenshots, realizar reconhecimento, buscar payloads adicionais, estabelecer persistência, roubar credenciais e criar túneis SOCKS5.
Segundo as observações da Symantec, o ataque à fabricante sul-coreana de eletrônicos durou entre 20 e 27 de fevereiro.
Os pesquisadores não divulgaram o nome da organização alvo.
Na primeira etapa, o Seedworm realizou reconhecimento de host e domínio, seguido por enumeração de antivírus via WMI, captura de tela e download de malware adicional.
O roubo de credenciais ocorreu por meio de prompts falsos do Windows, roubo de hive do registro, como SAM, SECURITY e SYSTEM, e ferramentas de abuso de tickets Kerberos.
A persistência foi estabelecida por meio de modificações no registro, enquanto o beaconing ocorria em intervalos de 90 segundos, e os binários carregados por sideloading eram reiniciados repetidamente para manter o acesso.
“A cadência é novamente compatível com atividade conduzida por implant, e não com a presença contínua de um operador”, disseram os pesquisadores.
Os atacantes exploraram o sendit.sh, um serviço público de compartilhamento de arquivos para exfiltração de dados, provavelmente para ocultar a atividade maliciosa e fazê-la parecer tráfego normal.
No geral, a Symantec considera a campanha mais recente do Seedworm notável pela expansão geográfica dos threat actors, pela maturidade operacional e pelo abuso de ferramentas e serviços legítimos, sinalizando uma mudança para ataques mais silenciosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...