ue, 26 May 2026
← VoltarO grupo MuddyWater conduz uma campanha global que explora vários setores, incluindo a indústria transformadora e os serviços públicos.
O grupo de hackers iraniano conhecido como MuddyWater foi vinculado a uma nova campanha que afetou pelo menos nove organizações em nove países em quatro continentes no primeiro trimestre de 2026. A atividade teve como alvo a fabricação industrial e eletrônica, a educação e órgãos do setor público, serviços financeiros e serviços profissionais, de acordo com a equipe Threat Hunter da Symantec e Carbon Black. Entre as vítimas está um grande fabricante de produtos eletrónicos sul-coreano, tendo os atacantes passado uma semana dentro da sua rede em fevereiro de 2026. Também foram apontados como parte do amplo esforço de espionagem um aeroporto internacional no Médio Oriente, fabricantes industriais do Sudeste Asiático e um fornecedor de serviços financeiros latino-americano.
“Os invasores confiaram muito no carregamento lateral de DLL usando binários Fortemedia (fmapp.exe) e SentinelOne (sentinelmemoryscanner.exe) legitimamente assinados para executar DLLs maliciosas enquanto se disfarçavam de software benigno”, disseram as equipes de segurança cibernética da Broadcom. O uso de "fmapp.exe" para carregar "fmapp.dll" foi documentado anteriormente pelo Grupo-IB em conexão com outra campanha MuddyWater com o codinome Operação Olalampo. De acordo com Huntress, a DLL contém código para conectar-se a um endereço IP controlado pelo invasor ("157.20.182[.]49"). Por outro lado, o abuso de “sentinelmemoryscanner.exe” – um binário associado a um produto de segurança – é avaliado como uma escolha deliberada, pois pode contornar a detecção baseada em assinatura.
Ele foi projetado para carregar uma DLL não autorizada chamada “sentinelagentcore.dll”. Ambas as DLLs incorporam uma ferramenta de código aberto chamada ChromElevator para desviar senhas, cookies e dados de cartões de pagamento de navegadores baseados em Chromium, contornando efetivamente as proteções de criptografia vinculada a aplicativos (ABE). Um aspecto digno de nota dos ataques é o uso de scripts Node.js para lançar o código PowerShell responsável por realizar operações de descoberta e coleta de informações. Em pelo menos um caso, descobriu-se que os invasores armazenavam os dados roubados no sendit[.]sh, um serviço público de transferência de arquivos.
“Uma cadeia de implantes baseada em node.exe foi usada para eliminar scripts do PowerShell que realizavam reconhecimento, captura de tela, roubo de colmeia SAM, escalonamento de privilégios e tunelamento de proxy reverso SOCKS5”, disseram Symantec e Carbon Black. Também são entregues os dois pares de carregamento lateral de DLL mencionados acima para fornecer aos invasores um túnel secreto para retransmitir o tráfego e iniciar o ChromElevator. Os ataques também são caracterizados por esforços para despejar credenciais que lhes permitiriam mover-se lateralmente pelas redes. Na intrusão visando o fabricante de eletrônicos sul-coreano, acredita-se que a MuddyWater tenha realizado repetidamente reconhecimento baseado em PowerShell, bem como reexecutado os dois binários para garantir que retém o acesso ao host comprometido.
O vetor de acesso inicial usado para violar a organização é desconhecido. “A cadência é novamente consistente com a atividade orientada pelo implante, em vez da presença contínua do operador”, disseram os pesquisadores. "O histórico de sua campanha mostra um movimento claro em direção a operações mais silenciosas e disciplinadas. Nenhuma dessas técnicas é individualmente nova, mas em combinação elas fornecem mais evidências de um avanço significativo na higiene operacional do Seedworm que conhecíamos há dois ou três anos." A evolução surge no momento em que o Conselho Europeu impôs sanções contra a empresa iraniana Emennet Pasargad por hackear um serviço sueco de SMS, aceder ao conteúdo de um serviço francês