Contexto da ameaça e atribuição estatal
Um grupo de ameaça cibernética apoiado pelo Irã, conhecido como CyberAv3ngers, evoluiu de uma organização hacktivista de barulho para uma ameaça séria que visa infraestrutura crítica nos Estados Unidos. O grupo, formalmente conectado ao Comando Ciber-Eletrônico da Guarda Revolucionária Islâmica do Irã (IRGC-CEC), opera desde pelo menos 2020 e tem refinado suas ferramentas e técnicas a cada nova campanha. Em 7 de abril de 2026, um advisory conjunto assinado por seis agências dos EUA — incluindo FBI, CISA, NSA, EPA, Departamento de Energia e Comando Cibernético — confirmou que atores afiliados ao Irã estão explorando ativamente controladores lógicos programáveis (PLCs) expostos à internet em sistemas de água e esgoto, infraestrutura de energia e instalações governamentais.
O advisory, designado AA26-097A, documentou interrupções operacionais reais e perdas financeiras em múltiplas organizações americanas. As agências vincularam diretamente essa atividade ao CyberAv3ngers, também rastreado como Storm-0784 pela Microsoft, Bauxite pela Dragos e UNC5691 pela Mandiant. A atribuição formal do CyberAv3ngers ao IRGC-CEC ilustra a estrutura operacional dirigida pelo estado e a liderança sancionada do grupo.
Evolução das capacidades do grupo
Pesquisadores da Tenable notaram que a progressão do grupo reflete uma construção de capacidade calculada e passo a passo. No final de 2023, o CyberAv3ngers comprometeu pelo menos 75 PLCs da série Unitronics Vision nos EUA, Reino Unido e Irlanda, explorando senhas de fábrica padrão em dispositivos expostos à internet. A Autoridade Municipal de Água de Aliquippa, na Pensilvânia, tornou-se uma das vítimas mais visíveis — seu PLC era acessível da internet aberta sem nenhuma porta de autenticação protegendo-o. Na Irlanda, um ataque separado deixou residentes sem água corrente por vários dias.
Até meados de 2024, o grupo introduziu o IOCONTROL, uma plataforma de malware personalizada projetada para ambientes de tecnologia operacional (OT) e IoT baseados em Linux. Em seguida, no início de 2026, o CyberAv3ngers mudou-se para controladores Rockwell Automation Logix, explorando a CVE-2021-22681 — uma falha crítica de bypass de autenticação com pontuação CVSS de 9.8. Esta vulnerabilidade permite que um atacante que intercepte uma única chave criptográfica se conecte aos PLCs afetados sem credenciais válidas.
IOCONTROL: Malware construído para se esconder
O IOCONTROL é a ferramenta tecnicamente mais avançada no arsenal atual do CyberAv3ngers. O malware é modular e executa em uma ampla gama de dispositivos baseados em Linux — roteadores, IHMs, câmeras IP, firewalls e sistemas de gerenciamento de combustível de fornecedores como D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika e Unitronics. A equipe 82 da Claroty descreveu-o como uma arma cibernética de estado-nação construída para atingir infraestrutura civil crítica.
O que torna o IOCONTROL particularmente difícil de capturar é o quão bem ele se mistura no tráfego de rede normal. Ele usa o protocolo MQTT sobre TLS na porta 8883 — um canal de comunicação IoT padrão — para alcançar seu servidor de comando e controle. Ele também usa DNS-over-HTTPS para resolver domínios de comando e controle, contornando completamente as ferramentas de monitoramento de rede padrão. O malware armazena seus dados de configuração criptografados com AES-256-CBC, instala-se como um script de inicialização systemd para sobreviver a reinicializações e pode executar comandos de sistema, escanear portas ou se deletar sob demanda.
Impacto por setor e implicações operacionais
O impacto desses ataques é sério. Organizações que dependem apenas de antivírus tradicional ou detecção baseada em assinatura estão cegas a essas técnicas. A natureza sem arquivo do ataque significa que há evidências forenses mínimas deixadas no disco, e o uso de um binário de sistema confiável torna mais difícil para os defensores separar a atividade maliciosa dos fluxos de trabalho normais de desenvolvedores. A exploração de PLCs de infraestrutura crítica pode levar a interrupções de serviços essenciais, como fornecimento de água e energia, com consequências diretas para a segurança pública.
Organizações executando controladores Rockwell Automation Logix ou Unitronics PLCs devem desconectar esses dispositivos da internet pública imediatamente. Como não existe patch de software para a CVE-2021-22681, a segmentação de rede e o isolamento de estações de trabalho de engenharia são as principais defesas. Os interruptores de modo físico devem ser definidos para "Run" para bloquear alterações de lógica remotas. Todas as configurações de PLC devem ser feitas backup offline em mídia segura.
Medidas de mitigação recomendadas
As equipes de segurança devem alertar para tráfego MQTT sobre TLS na porta 8883 e atividade DNS-over-HTTPS de segmentos de rede OT, e ingerir todos os indicadores de comprometimento do Advisory CISA AA26-097A nas plataformas SIEM e firewall sem atraso. Ferramentas remotas como TeamViewer ou AnyDesk devem ser substituídas por soluções de VPN corporativas que autentiquem multifator. A segmentação de rede é crítica para isolar sistemas OT de redes corporativas gerais.
Perguntas frequentes
Qual é o principal vetor de ataque? O grupo explora senhas de fábrica padrão e vulnerabilidades de autenticação em PLCs expostos à internet.
Existe um patch de software disponível? Para a CVE-2021-22681, a Rockwell Automation confirmou que não existe patch de software. A mitigação depende de segmentação de rede e controles de acesso.
Como identificar o IOCONTROL? Monitore tráfego MQTT sobre TLS na porta 8883 e DNS-over-HTTPS em dispositivos OT que não deveriam gerar esse tráfego.