🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Uma avaliação do cenário de atores de ameaças sobre a segmentação de ICS/OT no conflito Irã-EUA de 2026 E A ESCALA DO RISCO

As greves de 28 de fevereiro de 2026 aceleraram uma ameaça cibernética existente à infraestrutura crítica dos EUA, em vez de criá-la. Este relatório examina quem tem como alvo os sistemas de controle industrial (ICS), como os ataques são realizados e a escala da superfície de ataque exposta. A infraestrutura crítica é o principal alvo de retaliação devido ao alto impacto civil, ao grande número de dispositivos ICS expostos à Internet e ao subinvestimento de longa data na segurança cibernética de OT.
March 5, 2026
5
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

As greves de 28 de fevereiro de 2026 não criaram a ameaça cibernética à infraestrutura crítica dos EUA. Eles aceleraram uma que vem sendo construída há mais de uma década. Este relatório responde a três perguntas: quem está atacando ativamente os sistemas industriais dos EUA e aliados, como eles fazem isso e qual é o tamanho da superfície de ataque exposta.

60+
hacktivist groups activated within hours of 28 Feb strikes
Palo Alto Unit 42, Mar 2026
5 yrs
confirmed dwell time in US critical infrastructure
CISA AA24-038A (Volt Typhoon)
75+
US ICS devices compromised in one campaign
CISA AA23-335A (CyberAv3ngers)
40K+
internet-exposed ICS devices in the United States
Forescout / Shodan, 2024

Três coisas fazem da infraestrutura crítica dos EUA a principal superfície de retaliação:

  • Impacto civil: interromper a água, a energia ou o combustível gera pressão política imediata sem engajamento militar direto
  • Superfície de ataque acessível: dezenas de milhares de dispositivos ICS podem ser acessados diretamente pela Internet, muitos com credenciais padrão ou sem credenciais
  • Subinvestimento estrutural: concessionárias de água e operadores industriais administram ambientes de OT com orçamentos de segurança muito abaixo dos padrões comerciais
THE BOTTOM LINE
The disruption of a single US water treatment facility or power substation commands national attention and achieves strategic effect on par with kinetic action. For Iranian-aligned actors this is not theoretical. It is documented operational history.
The conflict has expanded the pool of motivated actors and reduced political constraints on action. Defenders cannot wait for specific threat intelligence before acting.

Atores ativos de ameaças visando ambientes ICS e OT

Alguns atores são apresentados abaixo, ordenados desde APTs de estados-nação de nível 1 com persistência de anos e ferramentas personalizadas, até grupos de proxy e hacktivistas de nível 2 que são menos disciplinados, mas muito mais numerosos e ativados rapidamente. Todos são avaliados como ativos e diretamente relevantes para a segmentação de ICS/OT.

APT33/Elfin | IRGC | Nível 1

Affiliation IRGC | Mandiant; Microsoft; MITRE ATT&CK G0064
Targets Energy, Oil and Gas, Aerospace, Defense Industrial Base, Electric Utilities
US activity Password spray campaigns against US electric utilities and oil and gas operators | Microsoft CyberWarCon 2019; Mandiant
Notable Associated with TRITON/TRISIS (2017): first malware targeting industrial Safety Instrumented Systems

Vetores de acesso inicial

  • Distribuição simultânea de senhas de alto volume em contas do Office 365 e do Azure em milhares de organizações
  • Spearphishing com anexos maliciosos de macros do Office, links.hta e arquivos maliciosos
  • Personificação de recrutadores e estudantes no LinkedIn para coleta de credenciais

TTPs confirmados | Microsoft, agosto de 2024; MITRE ATT&CK G0064

  • Backdoor Tickler (2024): C2 de vários estágios, baseado em Azure, persiste por meio da tecla Run chamada SharePoint.exe
  • AzureHound e Roadtools para reconhecimento do Azure AD; roubo de credenciais via LaZagne e Mimikatz
  • AnyDesk implantado para acesso remoto persistente sem autorização de TI
WHAT TO WATCH FOR
High-volume distributed login attempts with low per-account frequency against Azure / M365  |  SharePoint.exe Run registry key  |  AnyDesk installed without IT knowledge on OT-adjacent workstations

MuddyWater | MOIS | Nível 1

MuddyWater (MERCURY, Seedworm, Mango Sandstorm, TA450)    MOIS nation-state APT, continuous operations since 2017
Affiliation
MOIS (Ministry of Intelligence and Security)  |  CISA/FBI/NSA/NCSC-UK AA22-055A
Targets
Telecommunications, Defense, Oil and Gas, Government, Critical Infrastructure
2026 tooling
RustyWater: new Rust-based RAT, C2 via domains mimicking Dropbox and WordPress  |  CloudSEK Feb 2026
Broker role
Confirmed initial access broker within MOIS, shares access with other Iranian actors

Vetores de acesso inicial

  • Spearphishing com anexos maliciosos de macros do Excel e droppers de PDF
  • Abuso de ferramentas legítimas de RMM (Syncro, PDQ Connect) instaladas por integradores de TI terceirizados em redes OT
  • Aquisição interna de e-mail para posterior phishing de funcionários e fornecedores adicionais

HTTPS confirmados | CISA AA22-055A; ESET, dezembro de 2025; CloudSEK, fevereiro de 2026

  • Carregador lateral PowGoop DLL disfarçado de Google Update; backdoor POWERSTATS PowerShell para roubo de credenciais
  • Backdoor do Small Sieve: API do Telegram Bot para C2, persiste por meio da chave de execução do registro do Outlook/Microsoft
  • Mori backdoor: tunelamento de DNS para exfiltração secreta de C2
  • MuddyViper (2024): caixa de diálogo falsa de segurança do Windows para roubo de credenciais durante campanhas de phishing
WHAT TO WATCH FOR
Outlook/Microsoft registry run key | Telegram API outbound traffic from internal endpoints | High-entropy DNS subdomain queries | Syncro or PDQ Connect installed without IT authorisation

Handala Hack Team | Alinhado ao MOIS | Nível 2

Handala (Void Manticore, Banished Kitten, Storm-0842)    MOIS-directed hacktivist persona, active since December 2023
Affiliation
MOIS-affiliated | Check Point Research; KELA; Cisco Talos / Splunk
Targets
Israeli organisations (primary); Western, US, and Gulf targets escalating
Approach
Speed and psychological impact over sophistication: hack-and-leak, wiper, ransomware, ICS disruption claims
Note
Claims are regularly overstated. Treat Telegram announcements as psychological operations until independently verified.

Vetores de acesso inicial

  • Phishing via SMS e e-mail se passando por fornecedores de serviços e fornecedores de TI
  • Comprometimento da cadeia de suprimentos por meio de MSPs para acesso simultâneo de operadores industriais a jusante
  • Verificando aplicativos voltados para a Internet em busca de configurações incorretas e credenciais fracas (observado por meio de IPs Starlink para evitar bloqueios de geolocalização)

TTPs confirmados | Cisco Talos/Splunk, julho de 2024; Check Point, março de 2026

  • Limpador personalizado: baseado em AutoIT, com pacote NSIS, fornecido por meio de phishing que finge ser um fornecedor; canal do Telegram como C2
  • Implantação de ransomware sem intenção de recuperação (comportamento de limpador disfarçado de ransomware para efeito psicológico)
WHAT TO WATCH FOR
Vendor-impersonation phishing emails | New MSP or remote access connections to OT environments | Mass file deletion consistent with wiper behavior | Telegram C2 callbacks from internal hosts

Gatinho encantador//APT35 | IRGC-IO | Nível 1

Charming Kitten (APT35, APT42, Phosphorus, Mint Sandstorm, Magic Hound, TA453)    IRGC Intelligence Organisation nation-state APT, active since at least 2014
Affiliation
IRGC Intelligence Organisation (IRGC-IO) | CISA; Mandiant; Microsoft; MITRE ATT&CK G0059
Targets
Military, Government, Energy, Defense Industrial Base, Engineering, Telecoms, Journalists, Researchers, Academics
Primary role
Intelligence collection against people with access to policy, energy, and defense decision-makers; feeds IRGC targeting for other operations
US relevance
Confirmed targeting of US government, military, and energy-adjacent individuals for credential theft and long-term access | CISA; Mandiant

Vetores de acesso inicial

  • Engenharia social sofisticada por meio de perfis falsos de mídia social, WhatsApp, Telegram e e-mail se passando por coordenadores de conferências, assistentes de pesquisa e analistas
  • Sites de phishing clonando o Google Login e o Google Meet hospedados na infraestrutura legítima do Google Sites para aumentar a autenticidade | Fonte: Dark Atlas, 2025
  • Arquivos protegidos por senha contendo arquivos LNK maliciosos entregues após o estabelecimento da confiança

TTPs confirmados | CISA; Mandiant; Gatewatcher; Dark Atlas 2025

  • Cadeias de infecção em vários estágios: C2 hospedado na nuvem, arquivos criptografados, arquivos LNK maliciosos, implantes multiplataforma para Windows e macOS
  • Exploração do ProxyShell contra servidores Microsoft Exchange para acesso persistente a e-mails | Fonte: Análise do Gatewatcher do arquivo operacional vazado, 2025
  • Cultivo de acesso baseado em relacionamento por longos períodos de tempo antes de qualquer tentativa de colheita de credenciais
  • Arquivo operacional vazado (2025) revelou relatórios mensais de desempenho em campanhas persas e estruturadas de desenvolvimento de metas no Irã, Coreia do Sul, Kuwait, Turquia, Arábia Saudita e Líbano
WHAT TO WATCH FOR
Unsolicited outreach via LinkedIn, WhatsApp, or Telegram from individuals claiming academic, research, or conference roles | Phishing links to Google Sites mimicking login pages | ASPX webshells on internet-facing Exchange servers | Individuals with energy sector or policy-adjacent roles receiving unusual relationship-building contact

Volt Typhoon | PRC | Nível 1

Volt Typhoon (Dragos: VOLTZITE | Bronze Silhouette, Insidious Taurus)    PRC nation-state APT | CISA/NSA/FBI AA24-038A
Affiliation
People's Republic of China (PRC) | CISA AA24-038A
Targets
Communications, Energy, Transportation, Water and Wastewater | confirmed CISA AA24-038A
Intent
Pre-positioning for destructive attacks in a US-China conflict scenario. Not espionage. CISA high-confidence assessment.
Dwell time
Minimum 5 years confirmed in some victim environments | CISA AA24-038A
FBI, Jan 2024
Director Wray to Congress: described Volt Typhoon as the defining cyber threat of our generation

Vetores de acesso inicial

  • Exploração de dispositivos de ponta voltados para a Internet: aparelhos Fortinet, Ivanti, Citrix
  • KV Botnet: roteadores SOHO comprometidos em fim de vida útil (Cisco, Netgear) usados como infraestrutura de retransmissão
  • Abuso de conta válido, programado até o horário comercial para combinar com tráfego legítimo

TTPs confirmados | CISA AA24-038A

  • Execução exclusiva ao vivo: somente netsh, wmic, ntdsutil e PowerShell. Sem malware personalizado, tornando a detecção de assinaturas ineficaz.
  • Movimento lateral dos segmentos de rede de TI para OT: a característica definidora que distingue isso da espionagem tradicional
  • Modificações do registro PortProxy; AD Explorer para mapeamento de ambiente do Active Directory
WHAT TO WATCH FOR
Unusual netsh / wmic / ntdsutil execution in OT-adjacent environments | PortProxy registry modifications | IT-to-OT lateral movement from unexpected source IPs | Account activity that perfectly mirrors business hours

TWO MORE TO KNOW
APT34 / OilRig (MOIS): Long-dwell energy and finance sector access. Currently operationally silent since 28 Feb 2026, assessed as covert pre-positioning. Watch: low-frequency DNS anomalies and ASPX webshells on Exchange servers. Sandworm (GRU Unit 74455): The only confirmed Tier 1 actor with a track record of destructive ICS attacks causing physical impact. FrostyGoop (Jan 2024) cut heating to 600+ buildings in Ukraine in winter. Creates hacktivist proxy groups for deniable OT attack execution. Source: CISA; US DOJ; Dragos 2025.

CyberAv3ngers | IRGC-CEC Proxy | Nível 2

CyberAv3ngers (Dragos: BAUXITE | Microsoft: Storm-0784)    IRGC state-directed hacktivist proxy
Affiliation
IRGC-CEC (Islamic Revolutionary Guard Corps Cyber Electronic Command) | CISA AA23-335A; US Treasury Feb 2024
Targets
Water / Wastewater, Energy, Fuel Management, Manufacturing | explicit mandate: any Israeli-manufactured equipment is a legitimate target
Active since
2020, significantly escalated from October 2023
US bounty
$10 million USD issued by US government, 2024

Vetores de acesso inicial

  • Login de credencial padrão em PLCs Unitronics expostos à Internet via porta TCP 20256 (senha padrão: 1111)
  • Verificação de dispositivos expostos por Shodan e Censys, confirmação da geração de consultas assistida por IA via ChatGPT (OpenAI, outubro de 2024)
  • Nenhuma exploração de vulnerabilidade de software é necessária em nenhuma campanha confirmada

TTPs confirmados | CISA AA23-335A; Clarity Team82

  • Autentique-se no PLC da Unitronics, substitua a lógica da escada, desfigura a tela HMI
  • Desative as funções de upload/download para evitar a remediação do operador; faça o downgrade da versão do firmware
  • Malware IOCONTROL (2024): backdoor Linux personalizado com C2 baseado em MQTT, implantado nos sistemas de gerenciamento de combustível Unitronics e Orpak | Claroty Team82, dezembro de 2024
WHAT TO WATCH FOR
Inbound connections on TCP 20256 from external IPs | Outbound MQTT traffic (port 1883 / 8883) from ICS or IoT devices | HMI display changes, disabled remote access functions, unexpected firmware downgrades on any Unitronics or Orpak device

Mapeando a superfície de ataque

Cada resultado retornado por essas consultas representa um dispositivo ICS real executando um processo industrial ao vivo, acessível a partir de qualquer conexão com a Internet. Use as consultas Shodan na coluna mais à direita para preencher cada linha com as contagens atuais.

ICS/OT INTERNET EXPOSURE MAP (Count of Exposed Internet Assets (Live & Historical))
Country Modbus TCP S7comm Niagara Fox
United States 78.7K 50.1K 53.4K
Israel 27.9K 39.6K 37.4K
Saudi Arabia 340 525 451
UAE 1.4K 1.7K 1.4K
United Kingdom 30K 31.7K 27.1K
Germany 9.7K 9.5K 4.9K
Jordan 80 55 45
Bahrain 320 400 360

ADDITIONAL Ports along with associated OT ICS Protocols
port:20256 Unitronics PCOM | confirmed CyberAv3ngers target
port:44818 EtherNet/IP | Rockwell Allen-Bradley PLCs
port:47808 BACnet UDP | building and facility automation
port:4840 OPC UA | cross-vendor ICS communication
port:20000 DNP3 | electric utility SCADA protocol
port:5900 VNC | primary hacktivist OT remote access vector

WHAT THESE COUNTS MEAN
A count on port 502 is not a count of patched systems. It is a count of devices that will respond to unauthenticated Modbus read and write commands from any IP on the internet. These are the same queries threat actors run when selecting targets. Each result is a live industrial device that can be identified, fingerprinted, and accessed from any internet connection without prior network access.

Como os agentes de ameaças passam da descoberta à disrupção

Todos os atores deste relatório usam um ou mais dos três caminhos para alcançar os ambientes ICS e OT. Os caminhos não são mutuamente exclusivos.

Caminho 1: Exploração direta de ativos expostos

A barreira mais baixa e o risco de maior volume. Sem engenharia social, sem infiltração na rede.

  • O agente de ameaças consulta Shodan pela porta 20256 ou 502 e identifica os dispositivos expostos
  • Tenta credenciais padrão. Unitronics: 1111. Outros padrões publicados nos manuais do fornecedor e nos avisos da CISA.
  • Se autenticado: acesso total no nível do operador, leitura e gravação de valores do processo, modificação da lógica de controle, desativação de alarmes de segurança, interrupção de processos
  • Não é necessário ter experiência em ICS. A geração de consultas assistida por IA comprime a identificação do alvo em minutos.

Caminho 2: Phishing em ambientes adjacentes ao OT

Usado por APT33, MuddyWater, Handala. O alvo são as pessoas que operam o ICS, não o dispositivo em si.

  • O spearphishing atinge engenheiros do SCADA e operadores de salas de controle se passando por fornecedores de equipamentos ou suporte de TI
  • Uma credencial de operador de OT comprometida pode fornecer acesso à estação de trabalho de engenharia e ao ambiente de programação do PLC
  • MSPs com ferramentas RMM instaladas em redes OT são um alvo de alto valor: um único compromisso de MSP fornece acesso a todos os clientes industriais posteriores simultaneamente

Caminho 3: Infiltração de TI com movimento lateral de OT

O modelo Volt Typhoon. O mais difícil de detectar, o maior tempo de permanência e o maior impacto potencial.

  • VPN ou firewall voltado para a Internet explorado para ganhar espaço na rede de TI
  • O ator se move silenciosamente em direção aos limites de TI/OT: estações de trabalho de engenharia, historiadores, servidores de salto
  • Usa apenas ferramentas nativas do sistema operacional, sem malware, com permanência confirmada de no mínimo cinco anos em algumas vítimas dos EUA
  • Em um conflito ou crise, o ator pré-posicionado ativa: interrompe processos, desencadeia falhas de segurança, destrói equipamentos
THE COMMON THREAD
OT is not an on-premises problem. It is an internet-connected problem. Exposed ports provide direct access. Phishing accesses the people who operate OT. IT infiltration reaches the systems adjacent to OT. All three paths lead to the same destination: control over physical industrial processes. The 60+ groups activated since 28 February 2026 do not all need Path 3. Many only need an exposed port and a default password. That is enough to make national news.

Entrelinhas

The scale of this threat is not measured in the sophistication of individual attacks. It is measured in the number of actors, the breadth of the attack surface, and the history of real disruption that has already occurred.

Para equipes técnicas

  • Remova as interfaces de gerenciamento ICS da Internet pública agora. Nenhuma página de login do Unitronics HMI, do Siemens SIMATIC ou do Niagara deve ser acessível pela Internet sem uma VPN.
  • Altere as credenciais padrão em todos os dispositivos ICS implantados. Por exemplo. A senha 1111 da Unitronics está em um comunicado da CISA e ainda está em uso ativo.
  • Bloqueio no perímetro: TCP 20256, 102, 502, 44818, 1911, 4840, 20000 e UDP 47808
  • Audite o acesso de todas as ferramentas MSP e RMM aos ambientes de OT. Syncro, PDQ Connect, AnyDesk instalados sem autorização de TI são portas abertas.
  • Procure anomalias de LOTL em ambientes adjacentes ao OT. Defina linhas de base comportamentais. Investigue os desvios do normal.
  • Ative o registro em todas as interfaces de gerenciamento do ICS. Sem registros, os incidentes não podem ser detectados, investigados ou confirmados.

Para leitores líderes e não técnicos

  • Uma concessionária de água dos EUA foi forçada a operar manualmente por um grupo afiliado ao Irã usando uma senha padrão em 2023. O pool de ameaças agora é maior, melhor coordenado e assistido por IA.
  • Mais de sessenta grupos hacktivistas foram ativados horas depois de 28 de fevereiro de 2026. Eles não precisam da capacidade de um estado-nação. Eles precisam de um dispositivo exposto e de motivação. Ambas as condições são atendidas atualmente.
  • O Volt Typhoon está dentro da infraestrutura crítica dos EUA há anos. A ameaça não são apenas os ataques recebidos. Alguns atores já estão lá.
  • As três ações de maior impacto não exigem grandes orçamentos: retirar as interfaces ICS da Internet, alterar as senhas padrão, bloquear portas de protocolo industrial.
PRIORITY ACTIONS SUMMARY
1. Remove internet-exposed ICS interfaces immediately
2. Change default credentials on all deployed ICS devices
3. Block TCP 20256, 102, 502, 44818, 1911, 4840, 20000 and UDP 47808 at the perimeter
4. Audit and restrict all MSP and RMM tool access to OT environments
5. Enable logging on all ICS management interfaces
6. Hunt for LOTL behavioral anomalies (netsh, wmic, ntdsutil) in OT-adjacent environments

FONTES PRIMÁRIAS

  • CISA AA23-335A | Exploração de PLCs unitronics usados em sistemas de água e esgoto
  • CISA AA22-055A | Consultoria conjunta da MuddyWater | FBI, NSA, NCSC-UK, CNMF
  • CISA AA24-038A | Volt Typhoon/VOLTZITE na infraestrutura crítica dos EUA
  • CISA AA22-103A | Alerta PIPEDREAM/INCONTROLLER
  • Inteligência de ameaças da Microsoft, agosto de 2024 | Malware APT33 Tickler e Azure C2
  • Mandiant | Perfis de atores do APT33 e APT34
  • MITRE ATT&CK | G0064 (APT33), G0069 (Água barrenta), G0049 (APT34)
  • Claroty Team82, dezembro de 2024 | Análise de malware IOCONTROL
  • Pesquisa ESET, dezembro de 2025 | Análise da campanha israelense MuddyWater/MuddyViper
  • Equipe CloudSEK TRIAD, janeiro de 2026 | Análise RustyWater RAT
  • Check Point Research, março de 2026 | Handala//Void Manticore
  • Cisco Talos e Splunk, julho de 2024 | Handala wiper malware
  • KELA Cyber Intelligence, janeiro de 2026 | Perfil do ator Handala
  • Unidade 42 de Palo Alto, março de 2026 | Ativação de mais de 60 grupos hacktivistas iranianos
  • Relatório de segurança OT/ICS do Dragos 2025 | VOLTZITE, KAMACITE-ELECTRUM, FrostyGoop
  • Wray, diretor do FBI, depoimento no Congresso, janeiro de 2024 | Volt Typhoon
  • Forescout Research Labs, junho de 2025 | Contagens globais de OT/ICS expostas à Internet
  • Departamento do Tesouro dos EUA, fevereiro de 2024 | Documentação de sanções do IRGC-CEC
Ibrahim Saify
Passionate about offensive security, the author uncovers real-world vulnerabilities and business risks through an adversarial lens. With expertise in penetration testing, vulnerability assessment, and chaining attacks for escalation, he also researches industry trends to help organizations strengthen defenses against evolving threats.
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
March 11, 2026
9
min
Armando o LSposed: injeção remota de SMS e falsificação de identidade em ecossistemas de pagamento modernos
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 6, 2026
7
min
IA, o conflito Irã-EUA e a ameaça à infraestrutura crítica dos EUA
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 3, 2026
7
min
Campanha do Trojan RedAlert: falso aplicativo de alerta de emergência espalhado por SMS falsificando o Comando da Frente Interna de Israel
Leia mais