O grupo de hackers iraniano conhecido como MuddyWater foi ligado a uma nova campanha que atingiu pelo menos nove organizações em nove países, distribuídas por quatro continentes, no primeiro trimestre de 2026.
Segundo a equipe Threat Hunter, da Symantec e da Carbon Black, a atividade mirou setores de manufatura industrial e eletrônica, educação, órgãos do setor público, serviços financeiros e serviços profissionais.
Entre as vítimas está uma grande fabricante sul-coreana de eletrônicos, na qual os atacantes permaneceram por uma semana dentro da rede em fevereiro de 2026.
Também foram identificados como alvos, nesse amplo esforço de espionagem, um aeroporto internacional no Oriente Médio, fabricantes industriais do Sudeste Asiático e um provedor de serviços financeiros da América Latina.
“Os atacantes dependeram fortemente de side-loading de DLL usando binários legitimamente assinados da Fortemedia (fmapp.exe) e da SentinelOne (sentinelmemoryscanner.exe) para executar DLLs maliciosas enquanto se passavam por software benigno”, afirmaram as equipes de cibersegurança da Broadcom.
O uso de fmapp.exe para carregar lateralmente fmapp.dll já havia sido documentado pela Group-IB em conexão com outra campanha do MuddyWater, codinome Operation Olalampo.
Segundo a Huntress, a DLL contém código para se conectar a um endereço IP controlado pelo atacante, 157.20.182[.]49.
Já o abuso de sentinelmemoryscanner.exe, um binário associado a um produto de segurança, é avaliado como uma escolha deliberada, porque pode contornar a detecção baseada em assinatura.
Ele foi projetado para carregar lateralmente uma DLL maliciosa chamada sentinelagentcore.dll.
As duas DLLs incorporam uma ferramenta de código aberto chamada ChromElevator para coletar senhas, cookies e dados de cartões de pagamento em navegadores baseados em Chromium, contornando, na prática, as proteções do App-Bound Encryption (ABE).
Um aspecto relevante dos ataques é o uso de scripts em Node.js para iniciar código em PowerShell, responsável por operações de reconhecimento e coleta de informações.
Em pelo menos um caso, os atacantes foram identificados armazenando os dados roubados em sendit[.]sh, um serviço público de transferência de arquivos.
“Uma cadeia de implantação baseada em node.exe foi usada para inserir scripts em PowerShell que realizaram reconhecimento, captura de tela, roubo do hive SAM, escalonamento de privilégios e tunelamento por proxy reverso SOCKS5”, disseram Symantec e Carbon Black.
Também foram entregues os dois pares de side-loading de DLL mencionados anteriormente, para fornecer aos atacantes um túnel furtivo capaz de encaminhar tráfego e executar o ChromElevator.
As campanhas também se caracterizam por esforços para extrair credenciais que permitiriam o movimento lateral dentro das redes.
Na intrusão contra a fabricante sul-coreana de eletrônicos, acredita-se que o MuddyWater tenha realizado repetidas rodadas de reconhecimento em PowerShell, além de reexecutar os dois binários para manter o acesso ao host comprometido.
O vetor de acesso inicial usado para invadir a organização ainda é desconhecido.
“O ritmo da operação continua consistente com atividade orientada por implant, e não com presença contínua do operador”, disseram os pesquisadores.
“O histórico da campanha mostra uma clara mudança para operações mais silenciosas e disciplinadas.
Nenhuma dessas técnicas é, isoladamente, inédita, mas a combinação delas fornece mais evidências de um avanço significativo na higiene operacional em relação ao Seedworm que conhecíamos há dois ou três anos.”
O avanço ocorre no momento em que o Conselho Europeu impôs sanções contra a empresa iraniana Emennet Pasargad por invadir um serviço sueco de SMS, acessar o conteúdo de um banco de dados de assinantes francês e colocá-lo à venda, além de espalhar desinformação por meio de painéis publicitários comprometidos durante os Jogos Olímpicos de Paris de 2024.
Segundo o Departamento de Estado dos Estados Unidos, a empresa atua sob o nome Shahid Shushtari e é afiliada ao Comando Cibernético e Eletrônico da Guarda Revolucionária Islâmica do Irã (IRGC-CEC).
Ela é acompanhada pelos nomes Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten, antes conhecido como ChaoticOrchestra, Marnanbridge e UNC5866.
“Os integrantes da Shahid Shushtari causaram danos financeiros significativos e interrupções a empresas e órgãos do governo dos Estados Unidos por meio de operações cibernéticas coordenadas e operações de informação habilitadas por meios cibernéticos”, observou o Departamento de Estado em dezembro de 2025.
“Essas campanhas miraram múltiplos setores de infraestrutura crítica, incluindo mídia, transporte marítimo, viagens, energia, finanças e telecomunicações nos Estados Unidos, na Europa e no Oriente Médio.”
Hackers apoiados pelo Irã também foram relacionados a uma campanha de exfiltração voltada para organizações nos Estados Unidos, em Israel, na Arábia Saudita e na Turquia entre o fim de março e o início de abril de 2026.
Pelo menos duas vítimas nos Estados Unidos também foram alvo de operações destrutivas, como a exclusão de partições e de backups de dados.
Embora esses incidentes tenham sido reivindicados por uma persona pró-Irã chamada Ababil of Minab, uma nova análise da Gambit Security associou a infraestrutura da campanha ao Ministério da Inteligência e Segurança do Irã (MOIS).
Outros alvos incluem uma organização israelense do setor de mídia, uma instituição de ensino superior israelense, uma corretora de seguros turca e vários outros sites dos setores de restaurantes, cultura, serviços digitais e notícias.
Nenhuma atividade destrutiva foi observada contra essas vítimas.
Nesses casos, o adversário foi identificado usando internamente uma ferramenta personalizada em C++ para coleta e exfiltração de arquivos, com o codinome FileFiend.
“O binário podia enumerar discos locais e compartilhamentos SMB, navegar pelo sistema de arquivos e enviar arquivos para um servidor C2 [command and control] hardcoded”, disseram os pesquisadores da Gambit Security Eyal Sela e Nir Varon em relatório publicado hoje.
Como alternativa, os dados de interesse são compactados em arquivos RAR em um host dentro do ambiente da vítima e enviados para o site público da organização, na raiz da web, de onde são extraídos com o acelerador de downloads em linha de comando Axel e encaminhados por meio do proxychains.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...