Irã Invade Redes de Bancos e Aeroportos nos EUA com Backdoor Inédito
Grupo iraniano MuddyWater, ligado ao Ministério da Inteligência do Irã, é flagrado dentro de redes de bancos, aeroportos e empresas de defesa nos EUA usando backdoors inéditos Dindoor e Fakeset — com atividade intensificada após ataques militares ao Irã.
Um grupo de hackers ligado ao Ministério da Inteligência e Segurança do Irã (MOIS) foi flagrado operando silenciosamente dentro de redes de bancos, aeroportos e empresas de defesa nos Estados Unidos. A revelação, feita por pesquisadores da Symantec (Broadcom) e confirmada pelo FBI, CISA e NCSC do Reino Unido, expõe uma campanha de ciberespionagem que ganhou urgência com a escalada militar no Oriente Médio.
O grupo, conhecido como MuddyWater (também chamado de Seedworm, Temp Zagros e Static Kitten), utilizou dois backdoors até então desconhecidos — Dindoor e Fakeset — para se infiltrar em infraestruturas críticas americanas e canadenses desde o início de fevereiro de 2026.
Contexto Geopolítico: Por Que Agora?
A campanha não acontece no vácuo. Em 28 de fevereiro de 2026, os Estados Unidos e Israel realizaram ataques militares contra o Irã. O que torna essa descoberta particularmente alarmante é que o MuddyWater já estava dentro das redes americanas antes dos ataques começarem.
Segundo Brigid O'Gorman, analista sênior de inteligência da Symantec, "já ter presença nas redes americanas e israelenses antes do início das hostilidades coloca o grupo em uma posição potencialmente perigosa para lançar ataques". Mesmo que a motivação original fosse espionagem, o grupo pode pivotar para operações destrutivas contra alvos já comprometidos.
Há precedente: em maio de 2025, o MuddyWater comprometeu servidores de câmeras de segurança em Jerusalém. Quando o Irã lançou mísseis contra a cidade em junho, autoridades israelenses confirmaram que o grupo usava as câmeras comprometidas para coletar inteligência em tempo real e ajustar a mira dos mísseis.
Quem Foi Atacado
A campanha atingiu múltiplos setores críticos:
- Banco americano: backdoor Dindoor implantado nos sistemas internos
- Aeroporto nos EUA: backdoor Fakeset identificado na infraestrutura de rede
- Empresa de software de defesa: fornecedora da indústria aeroespacial, com operações em Israel que parecem ter sido o alvo principal
- ONGs nos EUA e Canadá: organizações sem fins lucrativos também foram comprometidas
- Redes de saúde israelenses e organizações do setor de energia
Dindoor: O Backdoor que Usa JavaScript para Escapar da Detecção
O Dindoor é um backdoor inédito que se destaca por usar o Deno, um runtime seguro para JavaScript e TypeScript, como ambiente de execução. Essa escolha é estratégica: ao rodar código JavaScript em vez de binários tradicionais, o malware evita muitas ferramentas de detecção que focam em executáveis compilados.
O Dindoor foi assinado digitalmente com um certificado emitido para "Amy Cherne" — um nome falso usado para dar aparência de legitimidade ao software malicioso.
Onde foi encontrado: redes da empresa de software israelense, banco americano e ONG canadense.
Fakeset: O Backdoor Python nas Sombras
O segundo backdoor, chamado Fakeset, é baseado em Python e foi baixado de servidores de armazenamento em nuvem da Backblaze, usando domínios como gitempire.s3.us-east-005.backblazeb2.com e elvenforest.s3.us-east-005.backblazeb2.com.
O Fakeset foi assinado com dois certificados falsos: "Amy Cherne" e "Donald Gay". O segundo nome é particularmente relevante porque já foi usado anteriormente para assinar os malwares Stagecomp e Darkcomp — ambos previamente atribuídos ao MuddyWater. Essa reutilização de certificados é o que permitiu a atribuição definitiva ao grupo iraniano.
Onde foi encontrado: aeroporto americano e ONG nos EUA.
Tentativa de Exfiltração de Dados
Os pesquisadores identificaram que os atacantes tentaram exfiltrar dados da empresa de software usando o utilitário Rclone, direcionando as informações para um bucket de armazenamento na nuvem Wasabi. Não ficou claro se a exfiltração foi bem-sucedida.
O uso de serviços legítimos de nuvem (Backblaze para distribuição de malware, Wasabi para exfiltração) é uma tática deliberada para camuflar tráfego malicioso dentro de conexões que parecem normais para ferramentas de monitoramento.
Infraestrutura de Comando e Controle
Os seguintes domínios foram identificados como parte da infraestrutura C2 do MuddyWater nesta campanha:
uppdatefile[.]comserialmenot[.]commoonzonet[.]com
Organizações devem verificar imediatamente seus logs de DNS e proxy em busca de conexões para esses domínios.
Quem é o MuddyWater
O MuddyWater não é um grupo novo. O FBI, CISA e NCSC confirmam que ele opera como braço cibernético do Ministério da Inteligência e Segurança do Irã (MOIS) desde pelo menos 2018. O grupo tem histórico de:
- Campanhas de espionagem contra governos e empresas no Oriente Médio, Europa e América do Norte
- Uso de ferramentas legítimas (como o Rclone) para dificultar detecção
- Phishing direcionado (spear-phishing) e exploração de vulnerabilidades em aplicações expostas à internet
- Capacidade de pivotar de espionagem para operações destrutivas quando interesses iranianos são ameaçados
O Que Sua Empresa Deve Fazer Agora
Mesmo que sua empresa não esteja nos setores diretamente atacados, as técnicas usadas pelo MuddyWater são aplicáveis a qualquer organização. Recomendações:
Detecção imediata:
- Verificar logs de DNS para os domínios C2 listados acima
- Buscar processos Deno suspeitos em execução nos servidores
- Monitorar conexões para serviços Backblaze e Wasabi não autorizados
- Auditar certificados digitais de softwares em execução
Proteção de perímetro:
- Implementar autenticação multifator resistente a phishing (FIDO2/passkeys)
- Segmentar redes para limitar movimentação lateral
- Atualizar VPNs e aplicações expostas à internet
- Limitar exposição de sistemas de tecnologia operacional (OT) à internet
Resiliência:
- Manter backups offline e testados regularmente
- Estabelecer plano de resposta a incidentes com procedimentos para ameaças de estados-nação
- Realizar threat hunting proativo focado em indicadores de comprometimento iranianos
Conclusão
A campanha do MuddyWater contra infraestrutura crítica americana é um lembrete de que conflitos geopolíticos têm reflexos diretos no ciberespaço. Grupos patrocinados por estados-nação não atacam apenas governos — bancos, aeroportos, empresas de software e ONGs são alvos legítimos em suas operações.
O fato de o grupo já estar posicionado nas redes antes da escalada militar demonstra um nível de planejamento e paciência que vai muito além do cibercrime comum. Para empresas brasileiras, especialmente aquelas com operações internacionais ou que fazem parte de cadeias de suprimentos globais, a mensagem é clara: segurança cibernética não é mais apenas uma questão técnica — é uma questão de segurança nacional.
A CFATECH oferece serviços especializados em segurança cibernética e infraestrutura de TI, incluindo monitoramento de ameaças, análise de vulnerabilidades e resposta a incidentes para proteger sua empresa contra ameaças avançadas.
Fontes
- The Hacker News: Iran-Linked MuddyWater Hackers Target U.S. Networks With New Dindoor Backdoor
- SecurityWeek: Iranian APT Hacks US Airport, Bank, Software Company
- Symantec (Broadcom): Iran Cyber Threat Activity - US
- The Register: Iran intelligence backdoored US bank, airport networks
CFATech Blog
Comentários
Gostou deste conteúdo?
Receba mais artigos como este diretamente no seu e-mail