Campanha associada ao Irã atingiu bancos, aeroportos, organizações sem fins lucrativos e uma operação israelense de software, combinando backdoors, abuso de armazenamento em nuvem e tentativas condicionadas de exfiltração.
| Componente | Redes corporativas de empresas nos EUA e de uma operação israelense de uma companhia de software, com uso dos backdoors Dindoor e Fakeset. |
| Vetor | Implantação de backdoor após acesso a redes-alvo; Dindoor depende do runtime JavaScript Deno, enquanto Fakeset é um backdoor Python baixado de servidores ligados à infraestrutura de armazenamento Backblaze. |
| Impacto | Persistência e acesso remoto em ambientes corporativos; houve tentativa de exfiltração por Rclone para um bucket Wasabi, mas o sucesso da transferência não foi confirmado. |
| Prioridade | Investigar execução incomum de Deno e Python, uso não autorizado de Rclone, conexões para armazenamento em nuvem e certificados digitais associados a Stagecomp, Darkcomp e Fakeset. |
| Artefatos | Dindoor, Fakeset, Stagecomp, Darkcomp, Rclone, Deno, Backblaze e Wasabi aparecem como artefatos técnicos relevantes no contexto da campanha. |
| Atribuição | A atividade é associada a MuddyWater, também referenciado como Seedworm, com vínculos técnicos por certificados usados para assinar malware relacionado. |
Uma campanha vinculada ao ecossistema iraniano MuddyWater atingiu redes de várias organizações, incluindo bancos, aeroportos, entidades sem fins lucrativos e a operação israelense de uma empresa de software que atende setores como defesa e aeroespacial. O elemento mais relevante é a presença de um backdoor até então não descrito no material analisado, chamado Dindoor, que usa o runtime JavaScript Deno para execução. Esse detalhe é importante para defesa porque desloca parte da telemetria para processos e dependências que podem parecer legítimos em ambientes de desenvolvimento, mas que raramente deveriam aparecer em servidores corporativos, estáções administrativas ou segmentos sensíveis sem justificativa operacional clara.
A campanha também incluiu um segundo backdoor em Python, chamado Fakeset, observado em redes de um aeroporto dos EUA e de uma organização sem fins lucrativos. Fakeset foi baixado de servidores pertencentes à infraestrutura da Backblaze, o que indica abuso de serviços de armazenamento e backup para entrega de código malicioso ou componentes intermediários. O certificado digital usado para assinar Fakeset também foi usado para assinar Stagecomp e Darkcomp, dois malwares previamente associados a MuddyWater. Essa reutilização de certificado fortalece o elo técnico entre as amostras e reduz a probabilidade de se tratar de um conjunto aleatório de artefatos sem relação operacional.
O incidente expõe um padrão que combina acesso persistente, uso de ferramentas legítimas, infraestrutura de nuvem e malware customizado. Em uma das redes, houve tentativa de uso do Rclone para transferir dados da empresa de software para um bucket Wasabi. O resultado dessa tentativa não foi confirmado, portanto a conclusão defensiva correta é tratar o evento como tentativa de exfiltração e não como vazamento comprovado. Para equipes de resposta, essa distinção muda a comunicação de risco, mas não reduz a urgência técnica: a presença de Rclone em host comprometido, associada a bucket externo e backdoor ativo, exige contenção, preservação de evidências e revisão de escopo.
O fluxo observado sugere que os operadores obtiveram algum nível de acesso às redes-alvo antes da implantação dos backdoors. Dindoor é relevante por se apoiar no Deno, runtime capaz de executar JavaScript e TypeScript fora do navegador. Em ambiente corporativo, esse tipo de runtime pode existir em times de engenharia, automação ou desenvolvimento, mas tende a ser anômalo em segmentos de usuário final, servidores de negócio, estáções de administração e infraestrutura crítica. A defesa deve avaliar não apenas a presença do binário, mas também a árvore de processos, caminhos de execução, argumentos, criação de arquivos temporários, conexões de saída e relação com contas que não deveriam executar ferramentas de desenvolvimento.
Fakeset, por sua vez, aparece como backdoor Python entregue a partir de servidores da Backblaze. O ponto técnico não é que a plataforma seja maliciosa, mas que serviços legítimos de armazenamento podem ser usados como canal de distribuição por dificultarem bloqueios amplos e criarem ruído em controles baseados apenas em reputação de domínio. A assinatura digital compartilhada com Stagecomp e Darkcomp adiciona uma trilha de pivô para hunting: certificados, cadeias de assinatura, nomes de emissor, hashes de certificado e histórico de arquivos assinados podem revelar artefatos relacionados mesmo quando nomes de arquivo, caminhos e infraestrutura mudam.
A tentativa de exfiltração com Rclone para Wasabi indica uso de ferramenta legítima para movimentação de dados para armazenamento externo. O contexto não confirma se a transferência foi concluída, nem descreve os tipos de dados envolvidos. Ainda assim, Rclone é uma ferramenta de alto valor para investigação porque deixa rastros em execução de processo, configuração local, arquivos de log, conexões TLS para provedores de armazenamento e possíveis interações com credenciais de acesso a buckets. Em resposta a incidente, a análise deve diferenciar instalação autorizada, uso administrativo documentado e execução iniciada por conta comprometida ou processo associado ao backdoor.
O contexto mais amplo também descreve intensificação de atividades associadas a atores pró-Irã e pró-Palestina durante tensões geopolíticas. Handala Hack, também referido como Void Manticore, teria roteado operações por faixas IP da Starlink para sondar aplicações expostas em busca de configurações incorretas e credenciais fracas. Outros adversários de nexo iraniano, incluindo Agrius, foram observados procurando câmeras e videoporteiros Hikvision vulneráveis por falhas conhecidas como CVE-2017-7921 e CVE-2023-6895. A atividade também cita Dahua e Hikvision em tentativas envolvendo CVE-2021-36260, CVE-2025-34067 e CVE-2021-33044.
A superfície afetada combina ambientes corporativos tradicionais, organizações críticas e ativos expostos à internet. A lista de alvos inclui um banco dos EUA, um aeroporto dos EUA, organizações sem fins lucrativos, uma organização sem fins lucrativos canadense e a operação israelense de uma empresa de software ligada a setores sensíveis. Essa distribuição mostra interesse tanto em acesso corporativo quanto em ambientes que podem oferecer inteligência estratégica, relacionamento com defesa, infraestrutura operacional ou visibilidade regional. Não há, no material analisado, lista de versões vulneráveis para Dindoor ou Fakeset porque o caso não é descrito como exploração de uma vulnerabilidade específica nesses backdoors, mas como atividade intrusiva com implantação de malware.
A superfície de câmera e vídeo deve ser tratada separadamente. O contexto cita sondagem e exploração contra câmeras Dahua e Hikvision, além de videoporteiros Hikvision, usando CVEs conhecidas. Essa atividade teria aumentado em Israel, países do Golfo, Líbano e Chipre. A hipótese operacional apresentada é que o comprometimento de câmeras pode apoiar coleta de inteligência, avaliação de dano de batalha e preparação de ações cinéticas. Para defesa, isso significa que câmeras IP, NVRs, interfaces web de vídeo, credenciais padrão, firmware antigo e exposição direta à internet devem entrar no mesmo ciclo de risco de servidores VPN, gateways e aplicações externas.
A camada de identidade e nuvem também aparece como superfície preferencial em avaliações recentes sobre operações iranianas. O contexto descreve foco em roubo de credenciais, password spraying, engenharia social e persistência por serviços corporativos amplamente implantados, em vez de dependência predominante de zero-days ou malware altamente inovador em escala. Esse padrão exige que equipes de segurança olhem para autenticação, sessões, provedores de identidade, MFA resistente a phishing, contas privilegiadas, aplicativos OAuth, logs de acesso e políticas de acesso condicional como parte central da investigação.
- Redes de banco, aeroporto, organizações sem fins lucrativos e operação israelense de empresa de software aparecem como alvos no material analisado.
- Dindoor afeta hosts onde o runtime Deno foi usado para execução do backdoor; Fakeset afeta hosts com execução Python associada à entrega por infraestrutura Backblaze.
- A superfície de vídeo inclui câmeras Dahua e Hikvision, videoporteiros Hikvision e dispositivos expostos com falhas conhecidas citadas no contexto.
- Serviços de armazenamento em nuvem, como Backblaze e Wasabi, aparecem como canais de entrega ou destino de transferência, não como prova de comprometimento dessas plataformas.
A investigação deve começar pela correlação entre processos de runtime, contas de usuário e comunicação externa. Para Dindoor, a presença de Deno deve ser cruzada com inventário de software autorizado, histórico de execução, linha de comando registrada por EDR, diretórios de origem e destino, persistência no sistema operacional e conexões de saída. Um alerta isolado para Deno pode gerar falso positivo em times de engenharia; a anomalia real está em execução fora de contexto, uso por contas de serviço sem função de desenvolvimento, criação de arquivos em caminhos temporários, comunicação com destinos incomuns e relação temporal com outros artefatos da intrusão.
Para Fakeset, o hunting deve observar execução de Python em hosts que não fazem automação legítima, downloads originados de infraestrutura de armazenamento, arquivos assinados com certificados relacionados aos mesmos materiais usados por Stagecomp e Darkcomp e processos que abrem canais persistentes de comunicação. A assinatura digital não deve ser tratada como garantia de confiança; neste caso, ela funciona como pivô de investigação. A defesa deve extrair metadados de assinatura de binários suspeitos, comparar certificados reaproveitados e revisar eventos de criação de processo próximos ao momento do download.
A tentativa com Rclone exige busca por execução da ferramenta, arquivos de configuração, nomes de remotes, referências a buckets Wasabi, volume de dados transferido, horários de execução e identidade do processo chamador. Como o sucesso da exfiltração não foi confirmado, a prioridade é reconstruir a linha do tempo: quando o utilitário apareceu, qual conta executou, quais diretórios foram acessados, se houve compactação anterior, se o tráfego saiu por proxy corporativo e se os arquivos de destino existiam em áreas sensíveis. Logs de proxy, DNS, EDR, armazenamento, firewall e DLP podem confirmar tentativa, bloqueio parcial ou transferência concluída.
Na frente de câmeras e aplicações expostas, a telemetria deve incluir varreduras contra interfaces web, tentativas de autenticação, requisições para endpoints associados a falhas conhecidas, alterações de configuração, criação de usuários administrativos e conexões de saída anômalas a partir de dispositivos de vídeo. Como parte da atividade citada usou faixas IP da Starlink para sondagem, bloqueios rígidos por provedor podem ser insuficientes; o mais importante é combinar taxa de requisições, padrões de endpoint, falhas de autenticação, origem geográfica incomum e comportamento incompatível com administração normal.
- Execução de
denoem hosts sem justificativa de desenvolvimento, especialmente com conexões externas ou persistência associada. - Execução de Python ligada a downloads de armazenamento em nuvem e arquivos assinados por certificado compartilhado com Stagecomp, Darkcomp ou Fakeset.
- Uso de Rclone sem mudança administrativa aprovada, com remotes externos, referências a Wasabi ou volume de saída incompatível com a rotina do host.
- Sondagens contra câmeras Dahua e Hikvision e videoporteiros Hikvision envolvendo
CVE-2017-7921,CVE-2023-6895,CVE-2021-36260,CVE-2025-34067ouCVE-2021-33044.
A resposta deve priorizar contenção dos hosts com backdoor, preservação de artefatos e revisão de identidade. Sistemas com indícios de Dindoor ou Fakeset precisam ser isolados de forma controlada, com coleta de memória quando viável, exportação de eventos EDR, cópia forense de arquivos suspeitos e retenção de logs de rede. A remoção direta sem coleta pode destruir evidências necessárias para determinar se houve movimento para outros hosts, tentativa de exfiltração ou uso de credenciais corporativas. Contas que executaram runtimes, ferramentas de transferência ou processos suspeitos devem ter sessões revogadas, senhas rotacionadas e privilégios revisados.
Para reduzir a superfície explorável, aplicações expostas, gateways VPN, dispositivos de borda e interfaces administrativas devem receber atualização de segurança e revisão de configuração. Câmeras IP e videoporteiros não devem ficar acessíveis diretamente pela internet; quando o acesso remoto for inevitável, ele deve passar por segmentação, autenticação forte, registro centralizado e restrição de origem. Dispositivos Dahua e Hikvision citados no contexto exigem atenção específica às CVEs listadas, mas a ação defensiva não deve se limitar a esses identificadores: firmware antigo, credenciais fracas e administração sem monitoramento continuam sendo vias práticas de comprometimento.
A camada de identidade precisa de controles resistentes a phishing, especialmente em organizações que podem ser alvo de atores iranianos ou grupos alinhados. MFA resistente a phishing, políticas de acesso condicional, redução de contas privilegiadas permanentes, bloqueio de autenticação legada, proteção contra password spraying e revisão de aplicativos com permissões excessivas reduzem o valor de credenciais obtidas por engenharia social. Backups offline e segmentação de rede também são relevantes porque o contexto cita risco de operações destrutivas e campanhas de wiper contra setores israelenses de energia, finanças, governo e utilidades, embora essa parte seja separada da implantação de Dindoor.
A validação final deve confirmar que não restaram canais de persistência, tarefas agendadas, serviços, chaves de execução automática, credenciais expostas ou ferramentas de transferência não autorizadas. Em ambientes com desenvolvimento legítimo, a política não deve simplesmente bloquear Deno ou Python de forma indiscriminada; a abordagem mais eficaz é permitir uso documentado, registrar execução detalhada e alertar quando runtimes aparecem fora dos grupos, hosts e caminhos aprovados. A mesma lógica vale para Rclone: quando houver uso legítimo, ele precisa de inventário, controle de destino, logs e aprovação explícita.
- Isolar hosts com Dindoor ou Fakeset, preservar evidências e reconstruir a linha do tempo antes de remover artefatos.
- Revogar sessões e rotacionar credenciais associadas a contas que executaram runtimes, backdoors ou ferramentas de transferência suspeitas.
- Restringir e monitorar Deno, Python e Rclone por perfil de host, grupo de usuário, caminho de execução e destino de rede.
- Atualizar câmeras, videoporteiros, VPNs, gateways e aplicações expostas, removendo administração direta pela internet sempre que possível.
- Aplicar MFA resistente a phishing, segmentação de rede, backups offline e monitoramento reforçado para identidade, nuvem e dispositivos de borda.
0 Comentários