Phoenix Backdoor

Um novo relatório da Group-IB Threat Intelligence revelou uma campanha de espionagem sofisticada conduzida pelo grupo MuddyWater, vinculado ao Irã, que está atacando mais de 100 organizações governamentais e internacionais em todo o mundo. A operação utiliza contas de e-mail comprometidas acessadas através de um nó de saída do NordVPN na França para distribuir documentos maliciosos do Microsoft Word que contêm o malware Phoenix backdoor versão 4. Essa campanha de phishing sofisticada explora técnicas de engenharia social, levando os destinatários a ativar macros para visualizar o conteúdo, o que contorna os filtros de segurança convencionais.

O grupo de ameaças persistentes avançadas (APT) MuddyWater, vinculado ao Irã, lançou uma operação de ciberespionagem sofisticada utilizando um novo toolkit de malware. A campanha, atribuída com alta confiança pela Group-IB Threat Intelligence, envolve o uso do backdoor Phoenix v4, ferramentas personalizadas e software legítimo de monitoramento remoto. O ataque começou com o acesso a uma caixa de correio comprometida via NordVPN, permitindo a distribuição de e-mails maliciosos que pareciam legítimos. Esses e-mails continham anexos do Microsoft Word que, ao terem suas macros ativadas, executavam um código VBA embutido, que por sua vez injetava o backdoor no sistema. O Phoenix v4 estabelece comunicação remota e coleta dados do sistema, mantendo-se ativo mesmo após reinicializações. A operação visou mais de 100 organizações governamentais e internacionais, destacando a crescente maturidade técnica do MuddyWater e a necessidade urgente de controles de defesa mais robustos, como a restrição de macros e o monitoramento de ferramentas de RMM. Os indicadores de comprometimento (IOCs) incluem domínios e hashes específicos, que podem ajudar na identificação de sistemas afetados.