Um grupo hacker patrocinado pelo estado iraniano, associado ao Corpo da Guarda Revolucionária Islâmica (IRGC), foi vinculado a uma campanha de spear-phishing visando jornalistas, especialistas em cibersegurança de alto perfil e professores de ciência da computação em Israel.
"Em algumas dessas campanhas, profissionais israelenses de tecnologia e cibersegurança foram abordados por atacantes que se passavam por assistentes fictícios de executivos de tecnologia ou pesquisadores por meio de e-mails e mensagens do WhatsApp", disse a Check Point em um relatório publicado na quarta-feira(25).
Os atores de ameaças direcionavam vítimas que interagiam com eles para páginas falsas de login do Gmail ou convites do Google Meet.
A empresa de cibersegurança atribuiu a atividade a um cluster de ameaças que ela monitora como Educated Manticore, que se sobrepõe com APT35 (e seu sub-cluster APT42), CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, ITG18, Magic Hound, Mint Sandstorm (anteriormente Fósforo), Newscaster, TA453, e Yellow Garuda.
O grupo de ameaça persistente avançada (APT) tem um longo histórico de orquestrar ataques de engenharia social usando iscas elaboradas, abordando alvos em várias plataformas como Facebook e LinkedIn usando personas fictícias para enganar as vítimas a fim de implantarem malware em seus sistemas.
A Check Point disse que observou uma nova onda de ataques a partir de meados de junho de 2025 após o surto da guerra Irã-Israel que visava indivíduos israelenses usando iscas de reuniões falsas, seja por e-mails ou mensagens do WhatsApp personalizadas para os alvos.
Acredita-se que as mensagens são elaboradas usando ferramentas de inteligência artificial (IA).
Uma das mensagens do WhatsApp sinalizadas pela empresa aproveitou as atuais tensões geopolíticas entre os dois países para convencer a vítima a participar de uma reunião, alegando que precisavam de sua assistência imediata em um sistema de detecção de ameaças baseado em IA para combater um aumento nos ataques cibernéticos visando Israel desde 12 de junho.
As mensagens iniciais, como as observadas em campanhas anteriores do Charming Kitten, são desprovidas de quaisquer artefatos maliciosos e são projetadas principalmente para ganhar a confiança de seus alvos.
Uma vez que os atores de ameaça constroem um relacionamento ao longo da conversa, o ataque passa para a próxima fase, compartilhando links que direcionam as vítimas para páginas de destino falsas capazes de colher suas credenciais de conta do Google.
"Antes de enviar o link de phishing, os atores de ameaça pedem o endereço de e-mail da vítima", disse a Check Point.
Esse endereço é então pré-preenchido na página de phishing de credenciais para aumentar a credibilidade e imitar a aparência de um fluxo de autenticação do Google legítimo.
O kit de phishing personalizado [...] imita de perto páginas de login familiares, como as do Google, usando tecnologias web modernas, como Aplicações de Página Única (SPA) baseadas em React e roteamento de página dinâmico.
Ele também usa conexões WebSocket em tempo real para enviar dados roubados, e o design permite ocultar seu código de análises adicionais.
A página falsa faz parte de um kit de phishing personalizado que pode capturar não apenas suas credenciais, mas também códigos de autenticação de dois fatores (2FA), facilitando efetivamente ataques de retransmissão 2FA.
O kit também incorpora um keylogger passivo para registrar todas as teclas digitadas pela vítima e exfiltrá-las caso o usuário abandone o processo no meio do caminho.
Alguns dos esforços de engenharia social também envolveram o uso de domínios do Google Sites para hospedar páginas falsas do Google Meet com uma imagem que imita a página de reunião legítima.
Clicar em qualquer lugar da imagem direciona a vítima para páginas de phishing que desencadeiam o processo de autenticação.
"Educated Manticore continua a representar uma ameaça persistente e de alto impacto, particularmente para indivíduos em Israel durante a fase de escalada do conflito Irã-Israel", disse a Check Point.
O grupo continua a operar de forma constante, caracterizado por spear-phishing agressivo, configuração rápida de domínios, subdomínios e infraestrutura, e desmontes rápidos quando identificados.
Essa agilidade permite que eles permaneçam eficazes sob escrutínio aumentado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...