A operação atingiu organizações de manufatura, educação, setor público, serviços financeiros e serviços profissionais, com uso de binários assinados, scripts em Node.js e PowerShell para reconhecimento, coleta e túneis de acesso.
| Componente | Campanha atribuída ao grupo iraniano MuddyWater, com abuso de fmapp.exe, sentinelmemoryscanner.exe, DLLs carregadas lateralmente, node.exe, PowerShell e ferramenta C++ de coleta em campanha iraniana relacionada. |
| Vetor | Execução de binários legitimamente assinados para carregar DLLs maliciosas, seguida por scripts em Node.js que acionam PowerShell para reconhecimento, captura de tela, coleta de informações e túneis de proxy reverso; o vetor inicial de acesso ao fabricante sul-coreano não foi identificado. |
| Impacto | Espionagem, permanência em ambiente comprometido, coleta de credenciais, roubo da hive SAM, preparação de dados em serviço público de transferência de arquivos e capacidade de movimentação lateral condicionada ao acesso obtido. |
| Prioridade | Investigar execução anômala de binários assinados com DLLs fora de caminhos esperados, uso incomum de node.exe para disparar PowerShell, criação de túneis SOCKS5 e upload de arquivos para serviços públicos ou diretórios web. |
| IoCs | Foram citados 157.20.182[.]49 e sendit[.]sh; devem ser tratados como exemplos defangados e correlacionados com telemetria local antes de qualquer conclusão. |
| Artefatos | Pares de carregamento lateral envolvendo fmapp.exe com fmapp.dll e sentinelmemoryscanner.exe com sentinelagentcore.dll, além de cadeia baseada em node.exe e scripts PowerShell. |
MuddyWater foi vinculado a uma campanha de espionagem observada no primeiro trimestre de 2026 contra pelo menos nove organizações em nove países, distribuídas por quatro continentes. Os alvos incluem manufatura industrial e eletrônica, instituições de ensino, órgãos públicos, serviços financeiros e serviços profissionais. Entre os casos descritos está um grande fabricante sul-coreano de eletrônicos, onde os operadores permaneceram por cerca de uma semana em fevereiro de 2026. Também aparecem no escopo um aeroporto internacional no Oriente Médio, fabricantes industriais do Sudeste Asiático e uma empresa latino-americana de serviços financeiros.
A operação se destaca pelo uso combinado de carregamento lateral de DLL, binários assinados, scripts em Node.js e execução de PowerShell para tarefas de reconhecimento e coleta. A técnica central usa programas legítimos para carregar bibliotecas maliciosas com nomes compatíveis com o fluxo esperado da aplicação. Esse modelo reduz ruído em controles baseados apenas em assinatura e exige análise de contexto: caminho do executável, DLL carregada, processo pai, linha de comando omitida por política editorial, conexões de rede e comportamento subsequente no host.
A atribuição do conjunto de atividades permanece dentro do campo de inteligência de ameaças, mas o contexto técnico é consistente com espionagem operacional: reconhecimento recorrente, tentativa de manter acesso, coleta de credenciais, uso de túneis e preparação de dados para transferência. O caso não deve ser tratado como exploração de uma vulnerabilidade específica, porque o material recebido não descreve CVE, falha de produto, versão afetada nem vetor inicial confirmado. A defesa deve concentrar a análise em execução anômala, cadeia de processos, carregamento de bibliotecas e movimentação de dados.
A primeira camada técnica descrita envolve o abuso de fmapp.exe, associado ao carregamento lateral de fmapp.dll. Esse par já havia aparecido em outra operação atribuída ao mesmo grupo, com a DLL contendo lógica de comunicação para o endereço defangado 157.20.182[.]49. O ponto operacional importante não é o nome isolado do arquivo, mas a combinação entre binário assinado, DLL inesperada no mesmo diretório ou em caminho controlável, e atividade de rede subsequente que não corresponde ao comportamento normal do software legítimo.
A segunda camada usa sentinelmemoryscanner.exe, binário associado a produto de segurança, para carregar uma DLL maliciosa chamada sentinelagentcore.dll. A escolha de um binário vinculado a segurança foi avaliada como deliberada, porque pode reduzir a eficácia de detecções simples baseadas em reputação ou assinatura. Em ambientes corporativos, esse padrão exige validação de origem, assinatura, localização em disco, hash aprovado internamente e relação com o agente real implantado pela organização. Um executável legítimo fora de seu diretório padrão, acionando DLL local inesperada, deve ser tratado como evento de alta prioridade.
A campanha também emprega uma cadeia baseada em node.exe para implantar ou acionar scripts PowerShell. Esses scripts realizaram reconhecimento, captura de tela, roubo da hive SAM, escalada de privilégio e tunelamento por proxy reverso SOCKS5. Em pelo menos uma ocorrência, dados roubados foram preparados no serviço público sendit[.]sh. O material também descreve o uso dos pares de DLL para fornecer túnel encoberto, retransmitir tráfego e iniciar ChromElevator, além de esforços de despejo de credenciais para viabilizar movimentação lateral. No fabricante sul-coreano, houve repetição de reconhecimento via PowerShell e reexecução de binários para preservar acesso ao host comprometido.
O vetor inicial de acesso no caso do fabricante sul-coreano não foi estabelecido no material analisado. Essa ausência é relevante para a resposta: não há base para afirmar phishing, exploração de vulnerabilidade, credenciais roubadas, acesso remoto exposto ou supply chain. A sequência confirmada começa dentro do ambiente comprometido, com execução de componentes que permitem reconhecimento, coleta e persistência operacional. A cadência foi caracterizada como atividade conduzida por implante, em vez de presença manual contínua do operador, o que muda a abordagem de caça para eventos espaçados e recorrentes.
A superfície afetada é ampla em termos setoriais, mas tecnicamente concentrada em endpoints Windows capazes de executar binários assinados, carregar DLLs locais e rodar Node.js e PowerShell. Organizações com manufatura industrial, eletrônica, educação, setor público, aeroportos, serviços financeiros e serviços profissionais devem priorizar inventário de hosts onde esses componentes aparecem fora de padrões conhecidos. A presença de node.exe em estáções de desenvolvimento pode ser legítima, mas em servidores administrativos, máquinas de usuários comuns ou sistemas industriais conectados à rede corporativa ela precisa de justificativa operacional.
A campanha também mostra risco para ambientes onde ferramentas legítimas de segurança ou áudio, como os binários citados, podem ser copiadas para diretórios controlados pelo invasor e usadas como carregadores. O problema defensivo não é a existência desses executáveis no parque, mas a combinação entre execução em local incomum, DLL com nome esperado mas origem não validada, processo pai suspeito e ações posteriores como PowerShell de reconhecimento, leitura de áreas sensíveis do sistema, captura de tela e criação de túnel.
Em campanha iraniana relacionada descrita no mesmo contexto, organizações nos Estados Unidos, Israel, Arábia Saudita e Turquia foram alvo de exfiltração entre o fim de março e o início de abril de 2026. Pelo menos duas vítimas nos Estados Unidos também foram atingidas por operações destrutivas, como exclusão de partições e backups de dados. Em outros alvos, incluindo mídia, ensino superior, corretagem de seguros e sites de setores como restaurantes, cultura, serviços digitais e notícias, não foi observada atividade destrutiva. Nesses casos, foi descrita uma ferramenta C++ chamada internamente de FileFiend, capaz de enumerar unidades locais e compartilhamentos SMB, percorrer sistemas de arquivos e enviar arquivos a um servidor C2 fixo.
Outro método de exfiltração citado nessa atividade relacionada envolve compactação de dados de interesse em arquivos RAR dentro do ambiente da vítima e upload para o diretório raiz do site público da própria organização. A retirada posterior é feita por ferramenta de download acelerado e tunelada por proxychains, mas os comandos operacionais foram omitidos. Para defesa, isso significa que o site público da organização também deve ser visto como possível ponto de estágio de dados, não apenas como ativo exposto à internet.
- Organizações atingidas incluem manufatura industrial e eletrônica, educação, setor público, serviços financeiros, serviços profissionais e um aeroporto internacional no Oriente Médio.
- Hosts Windows com execução de
fmapp.exe,sentinelmemoryscanner.exe, DLL local inesperada,node.exee PowerShell são os pontos centrais de validação. - O vetor inicial de acesso não foi confirmado no caso do fabricante sul-coreano, portanto a investigação deve partir da execução e da telemetria já observável no endpoint.
A caça deve começar por eventos de criação de processo e carregamento de imagem. Procure fmapp.exe e sentinelmemoryscanner.exe executados fora de caminhos de instalação conhecidos, especialmente quando carregarem fmapp.dll ou sentinelagentcore.dll a partir do mesmo diretório, de pastas temporárias, diretórios de usuário, compartilhamentos de rede ou caminhos recém-criados. A assinatura do binário não deve encerrar a análise: o sinal relevante é a relação entre assinatura, caminho, DLL carregada, árvore de processos e ações subsequentes.
Para a cadeia baseada em Node.js, a telemetria deve correlacionar node.exe com criação de PowerShell, leitura de informações do sistema, enumeração de rede, captura de tela, acesso à hive SAM, tentativas de elevação de privilégio e abertura de conexões que pareçam túneis. Em estáções onde Node.js é usado por desenvolvedores, a defesa precisa comparar diretórios de projeto, horários, usuário interativo, argumentos do processo e conexões externas. Em hosts que não têm função de desenvolvimento, a simples presença de node.exe acionando PowerShell já merece contenção e análise de memória ou disco.
Na camada de rede, é recomendável buscar conexões para o endereço defangado 157.20.182[.]49, acessos ao serviço sendit[.]sh, tráfego SOCKS5 incomum e padrões de retransmissão persistente a partir de endpoints que também exibem execução dos binários citados. No tráfego web corporativo, uploads de arquivos grandes para serviços públicos de transferência ou para diretórios de sites próprios devem ser cruzados com criação recente de arquivos compactados, atividade de contas privilegiadas e eventos de compressão em hosts internos.
Para a atividade relacionada com FileFiend, a telemetria defensiva deve cobrir enumeração de unidades locais, varredura de compartilhamentos SMB, leitura massiva de arquivos e envio para C2 codificado no binário. Em servidores web, procure arquivos RAR inesperados no diretório raiz, alterações de permissões, uploads fora do fluxo normal de publicação e downloads externos concentrados após a criação desses arquivos. Como o contexto não traz lista ampla de IoCs, a abordagem por comportamento é mais robusta do que depender apenas de bloqueios pontuais.
- Execução de
fmapp.exeousentinelmemoryscanner.exefora de caminhos aprovados, seguida de carregamento de DLL com nome compatível. node.execriando PowerShell para reconhecimento, captura de tela, acesso à hive SAM, enumeração de rede ou tunelamento SOCKS5.- Conexões para
157.20.182[.]49, acessos asendit[.]she uso de serviços públicos de transferência por hosts que também apresentam sinais de comprometimento. - Arquivos RAR inesperados em diretórios web, uploads para raiz de site público e downloads externos posteriores.
- Reexecução espaçada dos mesmos binários em um host comprometido, indicando tentativa de manter acesso por implante.
A resposta deve priorizar contenção de hosts com combinação de sinais, não apenas com um artefato isolado. Um endpoint que executou binário assinado a partir de caminho incomum, carregou DLL não aprovada e acionou PowerShell por meio de Node.js deve ser removido da rede para coleta forense, preservação de memória quando viável e análise de credenciais expostas. Como a campanha inclui coleta da hive SAM e tentativa de despejo de credenciais, a rotação de senhas deve considerar contas locais, contas administrativas usadas no host e credenciais que possam ter sido reutilizadas lateralmente.
A mitigação preventiva passa por controles de aplicação e endurecimento de PowerShell. Regras de allowlist devem amarrar binários sensíveis a caminhos, assinaturas e hashes aprovados internamente, bloqueando execução de cópias em diretórios de usuário ou temporários. Políticas de carregamento de DLL devem reduzir a possibilidade de busca em diretórios controláveis pelo invasor. PowerShell deve operar com logging ampliado, restrição de scripts não autorizados e monitoramento de invocações por processos incomuns, inclusive node.exe.
Também é necessário revisar a postura de saída de dados. Serviços públicos de transferência de arquivos, túneis proxy e uploads incomuns para sites próprios precisam de governança, alertas e inspeção compatível com a política da organização. Em ambientes com sites públicos hospedados pela própria empresa, o diretório raiz deve ter monitoramento de integridade e processo formal de publicação, porque o contexto mostra uso desse espaço como local de estágio para arquivos compactados.
Por fim, a investigação deve preservar o limite dos fatos conhecidos. Não há CVE, exploit público ou vetor inicial confirmado no material recebido. A equipe deve documentar evidências por host, validar se os binários legítimos fazem parte do inventário real, comparar DLLs com versões aprovadas, reconstruir a árvore de processos e buscar sinais de movimentação lateral antes de concluir escopo. Onde houver indício de destruição de partições ou backups em atividade relacionada, o plano de resposta deve incluir verificação de restauração, integridade de cópias offline e segregação de credenciais administrativas usadas em backup.
- Isolar hosts com execução suspeita dos pares
fmapp.exe/fmapp.dllousentinelmemoryscanner.exe/sentinelagentcore.dllfora de caminhos esperados. - Coletar artefatos de processo, DLL carregada, conexões de rede, eventos PowerShell, histórico de arquivos compactados e acessos a compartilhamentos SMB.
- Rotacionar credenciais locais e administrativas quando houver sinal de acesso à hive SAM, despejo de credenciais ou reconhecimento de domínio.
- Bloquear ou controlar upload para serviços públicos de transferência e monitorar criação de arquivos RAR em servidores web e compartilhamentos internos.
- Aplicar allowlist por caminho, assinatura e hash aprovado para binários sensíveis, com alerta para cópias executadas em diretórios não padronizados.
0 Comentários