Introdução
Hackers vinculados ao Irã têm invadido redes em todo o mundo com uma campanha calculada e sofisticada. O grupo conhecido como Seedworm, também rastreado como MuddyWater, utilizou técnicas avançadas de DLL Sideloading para burlar detecções baseadas em assinatura, comprometendo organizações em quatro continentes.
Técnica de DLL Sideloading com Binários Assinados
O que se destaca nesta campanha não é apenas o alcance das vítimas, mas como os atacantes se moveram pelos alvos. Em vez de depender de métodos ruidosos e facilmente detectados, o Seedworm demonstrou um nível de disciplina operacional que sinaliza maturidade real em seu modus operandi. A técnica mais marcante foi como os atacantes transformaram software confiável contra as organizações que ele deveria proteger.
Eles deixaram pares de arquivos nos sistemas alvo: um executável legítimo e assinado, e um DLL malicioso criado para ser carregado secretamente por ele. O primeiro par usou o fmapp.exe, uma utilidade legítima de driver de áudio, para carregar um arquivo malicioso chamado fmapp.dll. O segundo par foi mais provocativo: o sentinelmemoryscanner.exe, um componente legítimo de um produto de segurança bem conhecido, foi usado para sideloadar um arquivo malicioso chamado sentinelagentcore.dll.
Ferramentas e Carga Útil
Ambos os DLLs maliciosos carregavam o ChromElevator, uma ferramenta de pós-exploração capaz de roubar senhas, cookies e dados de cartões de pagamento de navegadores baseados em Chromium. Em todos os casos observados, o processo pai que lançava esses arquivos era o node.exe, o que significa que um script Node.js estava dirigindo toda a cadeia de sideloading em vez de um operador humano.
Uma vez dentro de uma rede, os atacantes não perderam tempo coletando credenciais e garantindo seu acesso. Eles usaram alterações no registro para garantir que sua cadeia de carregadores reiniciaria toda vez que o usuário afetado fizesse login. Eles também derramaram hives do registro do Windows contendo hashes de senhas, dando-lhes material offline para criptografia e movimento lateral.
Alvos e Motivação
Os alvos variaram amplamente, tocando em empresas de fabricação industrial e eletrônica, instituições de ensino, agências governamentais, provedores de serviços financeiros e até um aeroporto internacional no Oriente Médio. Um dos intrusos mais impressionantes ocorreu em fevereiro de 2026, quando o grupo passou uma semana inteira dentro da rede de um grande fabricante de eletrônicos sul-coreano.
Analistas da equipe Threat Hunter da Symantec identificaram a campanha e a vincularam ao Seedworm, um grupo amplamente acreditado por operar em nome do Ministério de Inteligência e Segurança do Irã. Os pesquisadores notaram que cada organização alvo provavelmente detinha informações de valor direto de inteligência para Teerã.
Exfiltração e Defesa
Para exfiltração, o grupo usou o sendit.sh, um serviço público de transferência de arquivos, para mover arquivos roubados para fora da rede. Roteamento de dados através de uma plataforma de nuvem de consumidor é uma tática deliberada para misturar tráfego malicioso com atividade comum da internet.
Defensores também devem observar árvores de processo incomuns do node.exe, carregamentos de DLL inesperados de binários de terceiros assinados e PowerShell puxando conteúdo de servidores de staging externos. Manter as regras de detecção de endpoint atualizadas e revisar regularmente as chaves de execução do registro pode reduzir a janela que os atacantes têm para manter sua posição.
Indicadores de Comprometimento (IoCs)
Os atacantes utilizaram servidores de staging controlados e domínios específicos para coordenação. Os hashes SHA256 dos binários maliciosos e legítimos foram identificados, permitindo a criação de regras de detecção específicas. A rede de comando e controle incluiu IPs e domínios que devem ser bloqueados imediatamente em firewalls e proxies.
Recomendações para CISOs
Organizações devem monitorar o uso inesperado de serviços públicos de compartilhamento de arquivos e auditar todas as transferências de saída de diretórios sensíveis. A detecção de DLL Sideloading deve ser reforçada em soluções EDR, focando em carregamentos de DLL de binários assinados de terceiros. A revisão de logs de execução de scripts Node.js é crucial para identificar atividades automatizadas suspeitas.