Iran

Pesquisadores da Proofpoint identificaram um novo grupo de ameaças ligado ao Irã, denominado UNK_SmudgedSerpent, que realizou operações de phishing voltadas para acadêmicos e especialistas em política externa entre junho e agosto de 2025. As campanhas utilizaram táticas de engenharia social, ferramentas de colaboração falsificadas e software legítimo de monitoramento remoto para infiltrar alvos focados em questões geopolíticas e domésticas do Irã.

O grupo começou com conversas benignas sobre mudanças sociais no Irã, mas rapidamente evoluiu para o envio de links para coleta de credenciais e cargas administrativas remotas. Um dos ataques mais notáveis envolveu a falsificação do e-mail de Suzanne Maloney, diretora do Brookings Institution, que contatou membros de think tanks com convites para colaboração que levavam a páginas de login falsas do Microsoft 365. O uso de software comercial para gerenciamento remoto, como o PDQConnect, permitiu acesso contínuo aos sistemas das vítimas.

Um grupo de espionagem cibernética vinculado ao Irã, conhecido como UNC1549, está por trás de uma nova campanha que visa empresas de telecomunicações na Europa. A empresa suíça de cibersegurança PRODAFT identificou que o grupo infiltrou 34 dispositivos em 11 organizações localizadas em países como Canadá, França, Emirados Árabes Unidos, Reino Unido e Estados Unidos. Os atacantes se disfarçam como representantes de recursos humanos em plataformas como o LinkedIn, utilizando uma abordagem de recrutamento falsa para enganar funcionários e instalar um backdoor chamado MINIBIKE. Este malware permite a coleta de dados sensíveis, como credenciais do Outlook e informações de navegação. A campanha é caracterizada por um planejamento meticuloso, onde os atacantes realizam reconhecimento extensivo para identificar alvos com acesso elevado a sistemas críticos. Além disso, a operação é apoiada por técnicas avançadas de ofuscação e comunicação, utilizando serviços legítimos de nuvem para evitar detecções. O grupo UNC1549, ativo desde pelo menos junho de 2022, é associado à Guarda Revolucionária Islâmica do Irã e tem como objetivo a coleta de dados estratégicos para espionagem de longo prazo.

Um grupo de ciberespionagem vinculado ao Irã foi identificado como responsável por uma campanha de spear-phishing coordenada, visando embaixadas e consulados na Europa e em outras regiões do mundo. A empresa de cibersegurança israelense Dream atribuiu a atividade a operadores alinhados ao Irã, conectados a um esforço mais amplo de espionagem cibernética. Os ataques utilizaram e-mails que se disfarçavam como comunicações diplomáticas legítimas, explorando tensões geopolíticas entre o Irã e Israel. Os e-mails continham documentos do Microsoft Word maliciosos que, ao serem abertos, solicitavam aos destinatários que habilitassem macros, permitindo a execução de um código VBA que implantava um malware. Os alvos incluíram embaixadas, consulados e organizações internacionais em várias partes do mundo, com foco particular na Europa e na África. A campanha foi realizada a partir de 104 endereços de e-mail comprometidos, incluindo um que pertencia ao Ministério das Relações Exteriores de Omã. O objetivo final dos ataques era estabelecer persistência no sistema da vítima, contatar um servidor de comando e controle e coletar informações do sistema. A ClearSky, outra empresa de cibersegurança, também observou que técnicas semelhantes foram usadas em ataques anteriores, sugerindo uma continuidade nas táticas dos atores de ameaça iranianos.