Pesquisadores da Seqrite Labs identificaram uma campanha chamada Operation IconCat que usa documentos aparentemente legítimos de fornecedores de segurança para induzir vítimas a instalar malware. As vítimas relatadas são organizações em Israel; a campanha combina engenharia social com implantes capazes de destruição e espionagem.
Descoberta e escopo
Segundo a análise publicada na investigação relatada pelo Cyber Security News, a atividade começou em novembro de 2025 e comprometeu múltiplas empresas nos setores de tecnologia da informação, serviços de pessoal e desenvolvimento de software. A Seqrite Labs encontrou amostras enviadas a partir de Israel datadas de 16 e 17 de novembro de 2025.
Vetor e engenharia social
A campanha emprega dois fluxos principais de ataque, ambos centrados em documentos que imitam materiais de fornecedores de segurança conhecidos (Check Point e SentinelOne).
- Campanha I: um PDF chamado help.pdf que se apresenta como manual de um “Security Scanner”. O documento instrui o usuário a baixar uma ferramenta hospedada no Dropbox protegido por senha (“cloudstar”).
- Campanha II: um documento Word corrompido distribuído por spear-phishing que se passa por comunicação da L.M. Group (domínio spoofed l-m.co.il). O arquivo contém macros ocultas que extraem e executam o payload final.
Implantes e capacidades técnicas
A primeira cadeia entrega um malware Python empacotado com PyInstaller chamado PYTRIC. A Seqrite relata que o binário inclui funcionalidades para varredura de arquivos, checagem de privilégios de administrador e rotinas capazes de apagar dados do sistema e excluir backups.
O controle dos hosts infectados ocorre via um bot no Telegram identificado como Backup2040, que permite comando remoto das máquinas comprometidas.
A segunda cadeia usa um implant em Rust batizado RUSTRIC. Entre as capacidades descritas está uma rotina de reconhecimento que verifica a presença de 28 produtos antivírus (por exemplo, Quick Heal, CrowdStrike, Kaspersky). RUSTRIC também faz uso de chamadas pelo Windows Management Instrumentation para executar comandos e estabelecer conexões com servidores controlados pelos atacantes.
Evidências e limites do que se sabe
A Seqrite Labs analisou uploads suspeitos e code paths que ligam os documentos às amostras finais; essas análises fundamentam a atribuição das técnicas descritas. O relatório mostra detalhes do fluxo de entrega (nomes de arquivos, senha do Dropbox) e das capacidades dos implantes. O que falta em público são métricas agregadas sobre número total de máquinas comprometidas e identificação de grupos por trás da operação — o que a publicação não fornece explicitamente.
Impacto e recomendações para defesa
Embora a campanha tenha alvos reportados em Israel, as táticas usadas — documentos com iscas de fornecedores de segurança, entrega via serviço de arquivos e uso de bots de mensageria para C2 — são amplamente reutilizáveis e representam risco para qualquer organização que confie em ferramentas baixadas de fontes externas sem validação.
- Bloquear e analisar anexos e downloads que peçam execução de ferramentas externas; revisar políticas de uso de serviços de armazenamento terceirizados.
- Monitorar comunicações com bots de Telegram e outras plataformas de mensageria como indicadores de C2.
- Hardenização contra execução automática de macros e políticas de aplicação de privilégio mínimo; detecção focada em comportamentos (ex.: exclusão massiva de arquivos, escaneamento sistemático de volumes).
Repercussão
O relato da Seqrite Labs, reproduzido pelo Cyber Security News, destaca a evolução das campanhas que misturam iscas de confiança (icons/branding de AV) e implantes com capacidades tanto de exfiltração quanto de destruição. As equipes de segurança devem tratar amostras com alto cuidado e priorizar investigação de downloads vindos de links externos mesmo quando vindos de documentos aparentemente legítimos.
Fonte da investigação: Seqrite Labs, reportada em Cyber Security News (autor: Tushar Subhra Dutta).