Um grupo de ameaça persistente avançada (APT) atribuído com média a alta confiança a um ator de ameaças ligado ao Irã, rastreado como Dust Specter, conduziu uma campanha de ataque direcionada contra funcionários do governo do Iraque em janeiro de 2026. A campanha introduziu quatro ferramentas de malware anteriormente não documentadas e apresentou evidências do uso de inteligência artificial generativa no desenvolvimento do código malicioso.
Vetor e exploração
O grupo se passou pelo Ministério das Relações Exteriores do Iraque para enganar alvos de alto valor. A primeira cadeia de ataque foi entregue por meio de um arquivo RAR protegido por senha, disfarçado de documento oficial. Quando aberto, um binário .NET chamado SPLITDROP, mascarado como aplicativo WinRAR, descriptografava e instalava a carga maliciosa. Uma segunda cadeia utilizou o GHOSTFORM, que abria um formulário falso em árabe do Google enquanto executava malware em segundo plano.
Evidências e limites
Pesquisadores da Zscaler ThreatLabz identificaram impressões digitais no código que apontam para o uso de IA generativa. Emojis e caracteres Unicode incorporados no código-fonte, juntamente com um valor de semente fixo (0xABCDEF) — um placeholder comum em código escrito por IA — foram encontrados nas ferramentas TWINTALK e GHOSTFORM. Isso indica uma mudança na abordagem dos atores de ameaça, que agora utilizam IA não apenas para planejamento, mas para escrever código malicioso funcional.
Infecção e persistência
O mecanismo de infecção empregou técnicas de DLL sideloading, explorando binários legítimos como o VLC Media Player e o WingetUI para carregar DLLs maliciosas (TWINTASK e TWINTALK). A persistência foi estabelecida por meio de chaves de execução do Registro do Windows. O malware se comunicava com servidores de comando e controle (C2) em intervalos aleatórios e aplicava geofencing para restringir respostas a regiões específicas.
Recomendações de defesa
Equipes de segurança devem aplicar listas de permissão de aplicativos rigorosas para prevenir DLL sideloading, configurar gateways para bloquear arquivos compactados com senha de remetentes não verificados, habilitar o registro de logs do PowerShell e monitorar chaves de execução do Registro. No nível de rede, tráfego HTTPS de saída com padrões de URI aleatórios e cabeçalhos de autorização JWT não padrão devem ser sinalizados.