O grupo de piratas informáticos MuddyWater, com fortes ligações ao Irão e também conhecido no meio de segurança como Seedworm ou Static Kitten, lançou uma vasta campanha de ciberespionagem internacional. Entre os principais alvos confirmados estão agências governamentais, um aeroporto internacional no Médio Oriente, instituições de ensino e fabricantes industriais na Ásia, com especial destaque para uma importante empresa de eletrónica sul-coreana.
De acordo com as informações avançadas pela equipa de investigação da Symantec num recente relatório de segurança, os atacantes conseguiram infiltrar-se e permanecer de forma furtiva durante uma semana na rede interna deste gigante sul-coreano da eletrónica em fevereiro de 2026. A análise indica que esta operação teve motivações claras de inteligência, focando-se ativamente no roubo de propriedade industrial e intelectual, espionagem governamental e na tentativa de comprometer redes corporativas e clientes associados.
Abuso de ferramentas legítimas para contornar defesas
Para penetrar nos sistemas sem disparar alarmes, a campanha do grupo baseou-se fortemente na técnica de DLL sideloading. Este método consiste em utilizar software legítimo e devidamente assinado para carregar bibliotecas (DLLs) maliciosas de forma silenciosa.
Os investigadores descobriram que os piratas abusaram de ficheiros executáveis confiáveis, nomeadamente o utilitário de áudio da Fortemedia e um componente oficial da SentinelOne. Ao serem executados, estes programas carregavam ficheiros DLL adulterados que continham a ChromElevator, uma ferramenta maliciosa focada em extrair dados e credenciais guardadas em navegadores baseados no Google Chrome.
A par desta técnica, os atacantes continuaram a recorrer intensivamente a scripts em PowerShell para capturar capturas de ecrã, mapear os sistemas infetados, roubar credenciais de acesso e estabelecer túneis de comunicação SOCKS5. No entanto, nesta campanha, a execução das cargas maliciosas passou a ser controlada discretamente através de loaders desenvolvidos em Node.js, demonstrando uma evolução na complexidade operacional. Um repositório no GitHub associado à quebra da encriptação de aplicações do Chrome ilustra o tipo de mecânicas exploradas nestas investidas.
O rasto da invasão na empresa sul-coreana
A invasão à fabricante de eletrónica da Coreia do Sul decorreu entre os dias 20 e 27 de fevereiro. Logo na fase inicial, o grupo realizou um reconhecimento exaustivo dos domínios e identificou as soluções de antivírus ativas no sistema.
O roubo de credenciais foi executado através de falsas janelas de início de sessão no Windows, manipulação de registos do sistema e abuso de senhas Kerberos. Para garantir que não perdiam o acesso à rede, os atacantes modificaram registos informáticos e configuraram os ficheiros adulterados para se reiniciarem repetidamente, mantendo uma comunicação com os seus servidores a cada 90 segundos.
Para a extração dos dados roubados sem levantar suspeitas, os piratas utilizaram um serviço público de partilha de ficheiros, misturando o roubo de informação com o tráfego normal da rede. Segundo a Symantec, esta investida destaca-se pela rápida expansão geográfica do grupo e por uma clara mudança de estratégia, apostando no abuso de ferramentas legítimas para realizar ataques muito mais silenciosos e difíceis de detetar.
Nenhum comentário
Seja o primeiro!