Operações atribuídas a Void Manticore e MuddyWater mostram uso de infostealers comerciais, botnets, certificados compartilhados e marcas de ransomware para ampliar capacidade operacional e dificultar atribuição.
| Componente | Atividade associada a atores iranianos ligados ao MOIS, com destaque para Void Manticore, persona Handala, MuddyWater, Tsundere Botnet, variante DinDoor, FakeSet, CastleLoader, Rhadamanthys e marca de ransomware Qilin. |
| Vetor | Uso de ferramentas criminosas, infraestrutura compartilhada, mecanismos de afiliados, marcas de extorsão e malware comercial em operações alinhadas a objetivos estatais, sem que todos os artefatos observados indiquem necessariamente controle direto pelo mesmo ator. |
| Impacto | A combinação de recursos do cibercrime com operações de espionagem, vazamento, interrupção e extorsão amplia alcance técnico, melhora a negação plausível e aumenta o risco de atribuição incorreta em investigações de ameaça. |
| Prioridade | Separar evidência técnica forte de sobreposição fraca, revisar execuções de Node.js, Deno e rclone, correlacionar certificados de assinatura com cautela e tratar marcas de ransomware como possível camada operacional, não como prova suficiente de autoria. |
| Artefatos | Foram citados Rhadamanthys, Tsundere Botnet, DinDoor, FakeSet, CastleLoader, StageComp, rclone, servidor Wasabi, certificados com Common Names Amy Cherne e Donald Gay, além do endereço 18.223.24[.]218 associado a investigação anterior de MuddyWater. |
| Limites | O uso dos mesmos certificados, ferramentas ou marcas criminosas indica sobreposição operacional ou cadeia comum de fornecimento, mas não prova sozinho que MuddyWater opere cada família de malware ou atue como afiliado direto de todos os serviços citados. |
A atividade analisada aponta uma mudança operacional em parte do ecossistema iraniano de ameaça: atores vinculados ou associados ao MOIS deixaram de apenas simular comportamento criminoso para incorporar ferramentas, serviços e modelos de execução usados por operadores de cibercrime. A diferença é importante para defesa e atribuição. Uma persona de ransomware ou de hacktivismo pode funcionar como cobertura narrativa, mas o uso real de infostealers comerciais, botnets, infraestrutura de afiliados, certificados obtidos em cadeias comuns e serviços de hospedagem externos altera a superfície técnica da operação. Isso permite executar intrusões com componentes maduros, reduzir o custo de desenvolvimento próprio e confundir investigações que dependem de famílias de malware como marcador primário de autoria.
O padrão aparece com mais clareza em atividades associadas a Void Manticore e MuddyWater. Void Manticore já foi observado operando personas de vazamento e interrupção, incluindo Homeland Justice em operações contra a Albânia e Handala em alvos israelenses. No caso de Handala, a presença do infostealer comercial Rhadamanthys mostra uma ponte prática entre objetivos estratégicos e ferramentas vendidas em fóruns criminosos. MuddyWater, por sua vez, aparece em sobreposições com Tsundere Botnet, execução baseada em Node.js e Deno, uso de rclone para acesso a armazenamento Wasabi e artefatos assinados com certificados também vistos em cadeias relacionadas a FakeSet e CastleLoader. Para operadores defensivos, o ponto central é que a associação entre ator estatal e ecossistema criminoso aumenta capacidade, mas também torna a leitura de clusters mais frágil quando baseada em um único indicador.
A cadeia técnica descrita envolve múltiplos níveis de reaproveitamento. Em um deles, atores alinhados ao Irã usam personas de hack-and-leak, vazamento e extorsão para mascarar a finalidade estratégica da intrusão. Em outro, incorporam ferramentas existentes do mercado criminoso, como infostealers e loaders, que já possuem mecanismos de coleta, execução, persistência ou entrega de payloads. Esse modelo reduz a dependência de desenvolvimento interno e permite que uma operação estatal se beneficie de infraestrutura já testada por criminosos, incluindo painéis, serviços de distribuição, hospedagem, certificados e canais de monetização. A consequência defensiva é que o artefato encontrado no endpoint pode representar apenas uma peça terceirizada da cadeia, não a identidade final do operador.
No caso de Tsundere Botnet, a execução observada depende de scripts em JavaScript e do ambiente Node.js para rodar código em máquinas comprometidas. Quando o mecanismo Node.js é detectado, algumas amostras alternam para execução com Deno, runtime de JavaScript e TypeScript. Essa variação recebeu a designação DinDoor em análises que conectaram a atividade a MuddyWater. O uso de Deno é tecnicamente relevante porque pode escapar de regras defensivas que tratam JavaScript malicioso apenas como execução por navegador, node.exe ou ferramentas tradicionais de script. A telemetria deve observar processos de runtime invocados fora de fluxos de desenvolvimento legítimos, chamadas de rede subsequentes e criação de tarefas ou artefatos temporários associados à execução remota.
Outra sobreposição envolve FakeSet, descrito como downloader em cadeias recentes que entregam CastleLoader. CastleLoader opera como serviço de malware usado por múltiplos afiliados, o que torna perigoso concluir autoria direta apenas pela presença do loader. A ligação técnica mais concreta citada no material disponível envolve certificados de assinatura de código com Common Names Amy Cherne e Donald Gay, usados em amostras associadas a StageComp, DinDoor e variantes de FakeSet. Essa repetição sugere uma origem comum de certificados ou acesso a um mesmo fornecedor, mas não estabelece, isoladamente, que MuddyWater controla CastleLoader. Em investigações, certificados compartilhados devem ser tratados como ponto de pivot, não como fronteira definitiva de cluster.
A operação contra o Shamir Medical Center, em outubro de 2025, ilustra o uso de marca criminosa como camada operacional. O incidente foi inicialmente apresentado como ransomware associado ao grupo Qilin, com alegação de roubo de dados e exigência de pagamento para impedir publicação. Avaliações posteriores em Israel apontaram de forma mais direta para operadores iranianos como força por trás da ação. O uso de uma marca RaaS como Qilin não precisa significar que o operador principal seja uma gangue puramente financeira; pode indicar participação em programa de afiliados, uso de tooling de extorsão ou apropriação de marca para aumentar pressão pública. Nesse tipo de caso, a prioridade técnica é separar payload, infraestrutura de negociação, canal de vazamento, TTPs de intrusão e objetivo estratégico antes de classificar o incidente.
A superfície exposta inclui organizações em setores de governo, telecomunicações, defesa, energia e saúde, com maior ênfase em alvos no Oriente Médio e em Israel quando se observam as atividades descritas para MuddyWater, Void Manticore e campanhas associadas a hospitais. Ambientes que executam JavaScript fora do navegador, permitem uso administrativo de rclone, toleram binários assinados por certificados pouco conhecidos ou não correlacionam ferramentas de administração com identidade e origem de processo ficam mais expostos a esse tipo de operação. O risco não se limita ao endpoint: armazenamento externo, serviços de VPS, infraestrutura de vazamento e canais de exfiltração também fazem parte do fluxo operacional.
Para equipes de segurança, a superfície crítica está na interseção entre ferramentas legítimas e componentes criminosos. rclone, por exemplo, pode ser usado de forma legítima para sincronização de dados, mas em uma intrusão pode transferir arquivos para um servidor Wasabi ou outro destino de armazenamento controlado pelo operador. Deno e Node.js são comuns em ambientes de desenvolvimento, mas menos esperados em servidores clínicos, estáções administrativas e hosts de usuário final sem função técnica. Certificados de assinatura reduzem atrito com controles básicos de reputação, mas não tornam um binário confiável quando o emissor, o Common Name, a cadeia de execução e o comportamento de rede não batem com o inventário da organização.
- Hosts com execução incomum de
node,node.exe,denoou binários JavaScript/TypeScript fora de pipelines de desenvolvimento autorizados. - Ambientes com uso de
rclonepara destinos externos, especialmente quando a conta, o horário, o volume e o processo pai não correspondem a rotinas documentadas. - Endpoints com binários assinados por certificados contendo Common Names
Amy CherneouDonald Gay, tratados como indício para investigação e não como prova isolada de autoria. - Organizações de saúde, governo, defesa, energia e telecomunicações com exposição a espionagem, vazamento, interrupção e extorsão com motivação estratégica.
A caça deve priorizar encadeamento de eventos, não apenas indicadores soltos. Em endpoint, procure criação ou execução de runtimes JavaScript por processos incomuns, scripts baixados de locais temporários, execução de comandos que alternem entre Node.js e Deno, conexões de saída logo após a inicialização do runtime e artefatos que persistam em diretórios de usuário, tarefas agendadas ou caminhos de inicialização. Em rede, correlacione conexões para VPS, armazenamentos compatíveis com Wasabi, domínios recém-observados, painéis de malware e tráfego associado a upload de grandes volumes. Em identidade, revise sessões que antecedem execução de rclone, mudanças de permissões, uso de credenciais fora de horário e acessos administrativos que tenham relação temporal com exfiltração.
Na análise de malware e threat intel, o principal cuidado é evitar agrupamento excessivo. A presença de CastleLoader, FakeSet, certificados compartilhados ou uma marca de ransomware não deve fundir incidentes automaticamente em um único ator. O procedimento mais robusto é separar evidências por categoria: infraestrutura, malware, certificado, cadeia de execução, vítima, idioma, horário, objetivo, método de exfiltração e canal de publicação. Sobreposições fortes são aquelas que combinam múltiplas categorias independentes. Sobreposições fracas, como um certificado reutilizado ou uma ferramenta vendida a vários afiliados, servem para ampliar a investigação, mas precisam de validação adicional antes de virarem atribuição operacional.
- Execução de
Denoem estáções ou servidores que não fazem parte de times de desenvolvimento, especialmente com processo pai anômalo. - Uso de
rclonecom configuração recente, destino externo e volume de transferência incompatível com rotina conhecida. - Conexões para
18.223.24[.]218em histórico de telemetria, quando houver retenção suficiente, tratadas como elemento de correlação contextual. - Binários assinados com Common Names
Amy CherneouDonald Gay, acompanhados de análise de hash, cadeia de processo, caminho em disco e destino de rede. - Eventos de extorsão que usem marca
Qilinou linguagem de ransomware, mas apresentem seleção de alvo, timing e objetivo compatíveis com pressão estratégica.
A resposta deve começar pela redução de ambiguidade. Organizações com exposição aos setores citados devem inventariar onde Node.js, Deno e rclone são realmente necessários, restringir execução fora de diretórios e grupos autorizados, aplicar controle de aplicação para runtimes e ferramentas de sincronização e registrar linha de comando completa em endpoint. Em paralelo, regras de detecção devem correlacionar execução de runtime com download de script, criação de arquivo temporário, conexão externa e movimentação de dados. Esse encadeamento reduz falso positivo e evita que ferramentas legítimas sejam bloqueadas sem critério.
Para incidentes com indício de extorsão ou vazamento, a contenção precisa considerar que a marca de ransomware pode ser uma camada de cobertura. Preserve imagens de disco, memória quando possível, logs de identidade, proxy, EDR, armazenamento e e-mail antes de erradicar artefatos. Revogue credenciais usadas por contas com acesso a dados sensíveis, revise tokens de ferramentas de sincronização, bloqueie destinos de exfiltração identificados e valide se houve publicação parcial de dados. Em hospitais e ambientes críticos, priorize segmentação, continuidade operacional e validação de integridade de sistemas clínicos antes de ações que possam interromper atendimento.
No programa de inteligência, atualize regras para refletir limites de atribuição. Rhadamanthys, CastleLoader ou Qilin podem aparecer em operações financeiras independentes e também em campanhas com motivação estatal; por isso, a classificação deve incluir nível de confiança e evidências observadas. Ao compartilhar detecções, separe indicador técnico de conclusão analítica. Essa disciplina evita bloqueios excessivos, melhora resposta a incidentes e reduz o risco de tratar uma operação estatal como ransomware comum ou, no sentido inverso, transformar todo uso de ferramenta criminosa em atividade governamental.
- Criar allowlist explícita para
Node.js,Denoerclone, com bloqueio ou alerta para execução fora de hosts, usuários e caminhos aprovados. - Registrar linha de comando, processo pai, hash, assinatura, conexões de rede e volume transferido para ferramentas de runtime e sincronização.
- Revisar logs de armazenamento externo e bloquear destinos não aprovados, incluindo buckets e endpoints compatíveis com serviços de objeto usados em exfiltração.
- Tratar certificados suspeitos como pivôs de investigação, validando comportamento do binário antes de atribuir o cluster.
- Em casos com marca de ransomware, separar negociação, payload, intrusão inicial, exfiltração e objetivo do ataque antes de definir autoria e plano público de comunicação.
0 Comentários