Uma campanha de ciberespionagem atribuída a um grupo ligado ao Irã está explorando parceiros e fornecedores para infiltrar redes de empresas dos setores aeroespacial, de aviação e defesa na região do Oriente Médio. A operação utiliza ferramentas personalizadas, como os malwares DEEPROOT e TWOSTROKE, para manter acesso prolongado e discreto aos ambientes comprometidos. O grupo, rastreado como UNC1549, também conhecido como Nimbus Manticore, adota uma estratégia de ataque indireto. Em vez de atingir diretamente os alvos finais, ele compromete fornecedores com defesas menos robustas ou acessos privilegiados.
Essa abordagem permite acesso lateral às redes principais sem acionar alertas imediatos. Entre os vetores de entrada observados estão sessões de VDI (Virtual Desktop Infrastructure) comprometidas e o envio de mensagens de phishing altamente personalizadas, muitas vezes com temática profissional, como convites para entrevistas de emprego ou simulações de recrutamento. O objetivo inicial é capturar credenciais de acesso legítimas. Após o acesso inicial, os invasores implantam o backdoor TWOSTROKE, voltado para sistemas Windows, e o DEEPROOT, desenvolvido em Golang para sistemas Linux.
Essas ferramentas permitem execução remota de comandos, movimentação lateral e extração de dados, com comunicação cifrada com servidores de comando e controle. A campanha se destaca pela persistência e furtividade. As cargas maliciosas são projetadas para permanecer inativas por longos períodos, utilizando túneis SSH reversos e infraestrutura em nuvem, como servidores hospedados no Azure, para mascarar o tráfego malicioso como se fosse legítimo. Além disso, o uso de domínios cuidadosamente configurados e a capacidade de modular a carga conforme o sistema operacional dificultam a detecção por soluções tradicionais de segurança. A operação tem foco claro em espionagem de longo prazo, com ênfase em acesso contínuo e coleta de informações sensíveis.
