Campanha de espionagem e evolução tática
Um grupo de hackers ligado ao Irã, identificado como Screening Serpens (também conhecido como UNC1549, Smoke Sandstorm e Iranian Dream Job), intensificou suas operações de ciberespionagem utilizando uma técnica sofisticada de hijacking do .NET. A campanha, que começou a ganhar força após um conflito regional em fevereiro de 2026, visa organizações nos Estados Unidos, Israel e Emirados Árabes Unidos, com foco em setores de alta valor como aeroespacial, defesa e telecomunicações.
A técnica central da campanha é o hijacking do AppDomainManager, que permite aos atacantes injetar código malicioso antes que a aplicação hospedeira termine de carregar. Isso ocorre na fase de inicialização do .NET, desabilitando recursos de segurança nativos e desviando a atenção das plataformas de detecção e resposta de endpoint (EDR).
Técnica AppDomainManager e evasão de EDR
A modificação de arquivos de configuração legítimos permite que os atacantes instrua o runtime do .NET a desativar o rastreamento de eventos do Windows (ETW), que é a principal fonte de dados para monitoramento de atividades .NET em plataformas EDR modernas. Além disso, a validação de assinatura de nome forte é contornada, permitindo que arquivos DLL não assinados sejam carregados sem disparar exceções de segurança.
Esta abordagem é considerada uma técnica madura de living-off-the-land, pois não requer shellcode complexo ou patching de memória. O atacante simplesmente solicita ao sistema que desative suas próprias defesas usando um arquivo que parece totalmente legítimo. O resultado é uma carga útil executando em um ambiente altamente privilegiado e totalmente não monitorado.
Vetores de ataque e engenharia social
A família de malware MiniUpdate foi entregue através de arquivos compactados que imitavam uma companhia aérea global e uma plataforma de videoconferência popular. Um dos arquivos continha seis descrições de emprego falsas com IDs de emprego convincentes, como Engenheiro de Software Sênior, visando profissionais de TI e engenharia.
Uma carga útil aninhada dentro de um arquivo chamado Hiring Portal.zip lançou uma janela de erro falsa enquanto o malware se instalava silenciosamente em segundo plano. Para persistência, o malware utilizou o Agendador de Tarefas do Windows, criando um gatilho diário às 09:30. O tráfego de comando e controle foi roteado através de domínios hospedados no Azure que imitavam nomes de serviços legítimos do Windows.
Famílias de malware MiniUpdate e MiniJunk V2
Os pesquisadores da Unit 42 identificaram seis novas variantes de Trojan de acesso remoto (RAT) implantadas entre fevereiro e abril de 2026, agrupadas em duas famílias distintas de malware. A família MiniJunk V2 utilizou um método de configuração mais antigo, mas adicionou ofuscação pesada de código e inflação de tamanho de arquivo para contornar limites de varredura automatizada.
A análise técnica revela que ambas as famílias iniciam suas cadeias de infecção através de spear phishing. As vítimas recebem o que parece ser um portal de recrutamento ou um instalador de aplicativo de videoconferência. Uma vez que interagem com o arquivo, uma cadeia de infecção silenciosa de múltiplas etapas é ativada, e o atacante ganha controle total sobre a máquina comprometida.
Indicadores de comprometimento (IoCs)
Os pesquisadores recomendam que os defensores ajustem as plataformas EDR especificamente para sinalizar comportamentos de sideloading de DLL e hijacking do AppDomainManager, em vez de confiar apenas na detecção baseada em assinatura. Tratar binários confiáveis e assinados que carregam módulos não assinados como de alto risco ajudará as equipes de segurança a detectar esses ataques mais cedo.
Os indicadores de comprometimento incluem domínios como licencemanagers.azurewebsites[.]net, buisness-centeral.azurewebsites[.]net e hashes SHA256 específicos para as variantes de malware. A re-fang de endereços IP e domínios deve ser feita apenas em plataformas controladas de inteligência de ameaças.
O que os CISOs devem fazer imediatamente
Organizações nos setores de aeroespacial, defesa e tecnologia devem permanecer alertas a ofertas de emprego falsas ou convites para reuniões chegando por canais não oficiais. A implementação de listas de permissão de aplicativos e a auditoria regular de tarefas agendadas são medidas eficazes de mitigação. A revisão de logs de inicialização de aplicações .NET pode revelar tentativas de hijacking do AppDomainManager.