Iraniano APT Opera em Redes por Anos Sem Ser Detectado
São Paulo — InkDesign News — Um grupo iraniano de ciberespionagem, conhecido como “BladedFeline”, conseguiu se infiltrar em redes alvo por quase uma década antes de ser detectado, destacando-se como uma ameaça à segurança cibernética na região do Curdistão e no Iraque.
Vetor de ataque
O grupo BladedFeline tem operado desde pelo menos 2017, utilizando uma variedade de táticas e ferramentas para manter e expandir seu acesso a sistemas governamentais, principalmente direcionados a oficiais curdos e iraquianos. Embora a metodologia exata de infiltração não tenha sido totalmente esclarecida, acredita-se que o grupo tenha explorado vulnerabilidades em servidores web acessíveis à internet, permitindo a implantação de shells web. Entre as ferramentas utilizadas, destaca-se um backdoor chamado “Shahmaran”, um executável de 64 bits que não utiliza compressão ou criptografia para comunicação, encontrado na diretório de inicialização de seus alvos.
Impacto e resposta
A presença prolongada do BladedFeline em redes críticas representa um risco significativo para a segurança nacional. Com acesso contínuo aos sistemas desde 2017, o grupo tem a capacidade de monitorar e potencialmente manipular a comunicação entre altos funcionários governamentais. ESET também identificou outros backdoors associados, como “Whisper” e um módulo malicioso de Internet Information Services (IIS) denominado “PrimeCache”, aumentando a complexidade da ameaça. Há indícios de que os grupos estejam alinhados com as forças iranianas, visando contrabalançar a influência ocidental no Iraque.
Análise e recomendações
De acordo com um pesquisador da ESET, comparar o BladedFeline com outros atores APT revela que o grupo é moderadamente avançado, desenvolvendo ferramentas de qualidade razoável. Este especialista ressalta:
“Estes implantes que o grupo BladedFeline desenvolveu são bastante furtivos em suas rotas de exfiltração de rede.”
(“These particular implants that the BladeFeline group has developed are fairly stealthy in their network exfiltration paths.”)— Pesquisador ESET
. Para mitigar riscos, é crucial que organizações identifiquem quais aplicações estão em suas redes, especialmente aquelas utilizadas por alvos de alto valor ou VIPs. O mapeamento adequado e a vigilância contínua podem ajudar a detectar comportamentos anômalos e desviar a atividade maliciosa.
No futuro, a ESET prevê que o BladedFeline continue a desenvolver implantes para manter seu acesso e expandir sua presença entre os alvos comprometidos, evidenciando a necessidade de vigilância contínua e atualizações de segurança robustas no setor.
Fonte: (Dark Reading – Segurança Cibernética)
