Um grupo de ameaças cibernéticas suspeito de espionagem, atribuído ao Irã, tem utilizado backdoors como TWOSTROKE e DEEPROOT para atacar indústrias de defesa e aviação no Oriente Médio. O grupo, identificado como UNC1549, foi monitorado entre 2023 e 2025, empregando técnicas sofisticadas para obter acesso inicial, como o abuso de relacionamentos com terceiros e campanhas de phishing direcionadas. Recentemente, a empresa PRODAFT associou o grupo a uma campanha que comprometeu 11 empresas de telecomunicações na Europa, utilizando engenharia social via LinkedIn. As cadeias de infecção incluem phishing para roubo de credenciais e exploração de vulnerabilidades em serviços como Citrix e Azure. Após a infiltração, as atividades dos atacantes incluem reconhecimento, movimentação lateral e roubo de informações sensíveis. Ferramentas personalizadas, como MINIBIKE e TWOSTROKE, são utilizadas para coletar dados do sistema e manter a persistência na rede alvo. O grupo se destaca por sua capacidade de evitar detecções e garantir acesso contínuo, utilizando técnicas como shells reversos SSH e domínios que imitam a indústria das vítimas.
Fonte: https://thehackernews.com/2025/11/iranian-hackers-use-deeproot-and.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
18/11/2025 • Risco: ALTO
MALWARE
Grupo de espionagem iraniano ataca setores de defesa no Oriente Médio
RESUMO EXECUTIVO
O grupo UNC1549 tem demonstrado uma capacidade alarmante de infiltração em redes de defesa, utilizando técnicas que podem ser replicadas em outros contextos. As ferramentas e métodos descritos indicam um risco elevado para empresas brasileiras que operam em setores vulneráveis.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido ao roubo de propriedade intelectual e interrupções operacionais.
Operacional
Roubo de informações sensíveis e comprometimento de redes.
Setores vulneráveis
['Defesa', 'Aeroespacial', 'Telecomunicações']
📊 INDICADORES CHAVE
11 organizações de telecomunicações comprometidas na Europa.
Indicador
Uso de técnicas de phishing para roubo de credenciais.
Contexto BR
Campanhas de espionagem direcionadas a setores de defesa.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar logs de acesso e autenticação em serviços de terceiros.
2
Implementar autenticação multifator e revisar políticas de acesso a sistemas críticos.
3
Monitorar continuamente atividades suspeitas em redes e sistemas, especialmente em relação a acessos de terceiros.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação das ameaças cibernéticas que visam setores críticos, especialmente em um cenário de aumento de tensões geopolíticas.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
