🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Uma visão privilegiada das operações do APT35 vinculadas ao IRGC: Ep1 e Ep2

A equipe TRIAD da CloudSEK analisou documentos internos vazados do APT35 (Charming Kitten) vinculado ao Irã, revelando sua estrutura, ferramentas e operações de espionagem. O grupo, vinculado ao IRGC, atacou os setores governamental, jurídico, energético e financeiro no Oriente Médio, EUA e Ásia por meio de phishing, explorações de CVE e ataques à cadeia de suprimentos. O vazamento expõe a rede organizada de espionagem cibernética do Irã, capaz de persistência a longo prazo, roubo de dados e riscos à segurança nacional
October 7, 2025
7
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

O CloudSEK analisou um conjunto de dados que parece ser um vazamento confiável de materiais operacionais do Charming Kitten (APT35), contendo documentos internos em língua persa, listas de pessoal, detalhes de ferramentas e relatórios de campanha. Ele documenta equipes coordenadas para penetração, desenvolvimento de malware, engenharia social e comprometimento da infraestrutura, incluindo a rápida exploração do CVE-2024-1709 e a manipulação em massa do DNS do roteador. As vítimas incluem os setores governamental, jurídico, acadêmico, de aviação, energia e financeiro em todo o Oriente Médio, mas as regiões de interesse também incluem os EUA e a Ásia. As operações sistemáticas permitem a persistência a longo prazo, o domínio do Active Directory e a exfiltração extensiva. O Tradecraft mostra RATs personalizados, evasão de EDR, pivôs da cadeia de suprimentos e infraestrutura sofisticada de phishing. A divulgação destaca a capacidade de espionagem regional organizada do Irã e o risco agudo da cadeia de suprimentos e de segurança nacional de atores de estados-nação afiliados ao IRGC.

Análise

Plano de fundo

  • Charming Kitten, também conhecido como APT35, Magic Hound e Phosphorus, é um grupo de espionagem cibernética que se acredita estar operando fora do Irã.
  • No final de 2024, descobriu-se que eles implantaram uma variante C ++ de um malware conhecido chamado BellaCiao.
  • Em outubro de 2025, CloudSEKO TRIAD encontrou e analisou um repositório do github que supostamente continha documentos operacionais internos vazados do Charming Kitten, um grupo APT afiliado ao IRGC.
  • Os documentos vazados estão em persa, então o consumo das informações desse vazamento foi um desafio para a comunidade em geral.

Para facilitar a vida dos falantes de inglês, avaliamos a legitimidade do vazamento, a estrutura organizacional do grupo APT e seus detalhes operacionais a partir do vazamento.

Nota: Este blog será atualizado quando mais informações estiverem disponíveis, pois o agente da ameaça declarou que planeja vazar mais informações nos próximos dias.

Esse vazamento é mesmo legítimo?

Indicadores de alta confiança

  • Língua persa documentação interna (mais de 100 arquivos)
  • Calendário iraniano uso (datas de Jalali: 1402, 1403)
  • Horas operacionais alinhar com o fuso horário de Teerã
  • Seleção de alvos se alinha com as prioridades da inteligência iraniana
  • Infraestrutura corresponde aos padrões APT35 conhecidos
  • Artesanatos comerciais consistente com os TTPs de Charming Kitten
  • Nomes de pessoal (Convenções de nomenclatura persas)

Sobreposições conhecidas de APT35/Charming Kitten

  • Engenharia social foco (campanhas de phishing)
  • Coleta de credenciais prioridade
  • Segmentação no Oriente Médio (Jordânia, Emirados Árabes Unidos, Arábia Saudita)
  • Persistência a longo prazo sobre o rápido esmagamento e captura
  • Desenvolvimento de ferramentas RATs e utilitários personalizados

Estrutura organizacional - APT35 a.k.a. Charming Kitten

Equipe operacional

1. Mehdi Sharifi (154 154)

  • Função: Gerente de Escritório/Chefe Administrativo (157 154)
  • Departamento: Contratos administrativos (1.143 153)
  • Evidência: Registros do quadro de horários
  • Padrão de trabalho: Horário normal de expediente com horas extras
  • Número do crachá: 9235-1

2. Esmaeil Heydari (153.143)

  • Função: Operador/Operador Técnico (303 314)
  • Departamento: Contratos administrativos
  • Evidência: Registros do quadro de horários
  • Padrão de trabalho: Mais de 202 horas mensais, horas extras significativas
  • Número do crachá: 9235-2
  • Notas: Indicador de alta carga de trabalho sugere papel técnico sênior

3. Vahid Molavi (153 154)

  • Função: Operador/Operador Técnico (303 314)
  • Departamento: Contratos administrativos
  • Evidência: Registros do quadro de horários
  • Padrão de trabalho: Mais de 165 horas mensais com dias de licença
  • Número do crachá: 9235-4 (Nota: O emblema #3 não está presente nos documentos)

4. Amir Hossein Aminejad (153 153)

  • Função: Operador/Operador Técnico (303 314)
  • Departamento: Contratos administrativos
  • Evidência: Registros do quadro de horários
  • Padrão de trabalho: Mais de 164 horas mensais, várias licenças autorizadas
  • Número do crachá: 9235-7

Equipe de operações técnicas

5. Ali (144)

  • Função: Testador de penetração/Operador de segurança ofensivo
  • Foco principal: Campanhas de injeção de SQL, alvos israelenses
  • Evidência: Relatório mensal (02120dcf3b263702028a0441881d339ee4ff8e15)
  • Período de trabalho: Bahman 1402 (janeiro a fevereiro de 2024)
  • Total de horas: 44 horas mensais
  • Especializações:
    • Exploração de injeção de SQL (SQLMap)
    • Operações de digitalização em massa
    • Segmentação da infraestrutura israelense
    • Exploração do modem (dispositivos GoAhead)
    • Manipulação do servidor DNS
  • Projetos chave:
    • exploração de simania.co.il
    • compromisso bonimonline.co.il
    • Campanha de ataque de modem em massa (mais de 580 dispositivos)
    • Pesquisa e exploração de CVE
  • Proficiência: SQLMap, Burp Suite Intruder, Censys, Acunetix

6. Mohammad (154)

  • Função: Testador de penetração/Especialista em segurança de aplicativos Web
  • Evidência: Relatório mensal (4037e9382a99fdd96fe93eb0fd4380eea695bd3a)
  • Período de trabalho: Dey 1402 (dezembro de 2023 a janeiro de 2024)
  • Total de horas: 55 horas mensais
  • Especializações:
    • Exploração de aplicativos da Web
    • Pesquisa de vulnerabilidade do CMS
    • Desenvolvimento de ferramentas de desfiguração automática
    • Segmentação de sites israelenses
  • Projetos chave:
    • campanha alvo exite.co.il
    • exploração de souz.co.il
    • operações-alvo tuvastórias
    • Reconhecimento reverso de IP
    • Explore o desenvolvimento de automação
  • Proficiência: Desenvolvimento de exploits personalizados, waybackurls, Bing Dorking, Fóruns de violação PONTUAR

7. Hossein (153)/HSN

  • Função: Desenvolvedor de malware//Red Team Operator
  • Evidência: Relatórios diários (pasta HSN2, 1403-05-27 a 1403-06-06)
  • Período de trabalho: Mordad-Shahrivar 1403 (julho-setembro de 2024)
  • Total de horas: mais de 26 horas documentadas (relatórios parciais)
  • Especializações:
    • Desenvolvimento de malware personalizado (Projeto RTM)
    • Exploração do Active Directory
    • Compartilhar ferramentas de enumeração de pastas
    • Configuração da infraestrutura do Windows Server
    • Desenvolvimento de carregadores
  • Projetos chave:
    • Projeto RTM: Ferramenta de administração remota
      • Enumerador de pastas de compartilhamento para ambientes AD
      • Capacidades de reescrita binária
      • Coleta de informações do sistema
      • Funcionalidade de acesso ao Shell
      • Execução personalizada baseada em switch
  • Ambiente técnico:
    • Configuração do laboratório de teste do Active Directory
    • Windows Server 2012 R2
    • Configuração do controlador de domínio
    • Ambiente de VM com várias máquinas
  • Desafios documentados:
    • Arquitetura de funções complexas em RTM
    • Problemas de visibilidade do usuário do AD
    • Integração de vários módulos

8. Majid (153)/MJD

  • Função: Gerente de campanha de engenharia social/especialista em infraestrutura
  • Evidência: Relatórios diários abrangentes (pasta MJD, 1403-05-27 a 1403-07-24)
  • Período de trabalho: Mordad-Mehr 1403 (julho-outubro de 2024)
  • Total de horas: Mais de 150 horas mensais (180 presenças, 150 operacionais)
  • Especializações:
    • Gerenciamento de campanhas de mídia social
    • Desenvolvimento de infraestrutura de phishing
    • Aquisição de domínio/hospedagem
    • Configuração do sistema de pagamento (criptomoeda)
    • Criação e agendamento de conteúdo
    • Pesquisa e aquisição de painéis de SMS
    • Design de modelo de comércio eletrônico
    • Infraestrutura de VPN/anonimato
  • Projetos chave:
    • Projeto de campanha: Operações de phishing em várias plataformas
      • Anúncios do Facebook (conta kaelajnz)
      • Campanhas do Twitter/X
      • Operações do Instagram
      • Configuração do Google Ads
      • Microsoft Ads (várias contas)
      • Canais de telegrama (direcionados aos Emirados Árabes Unidos)
    • Desenvolvimento de infraestrutura:
      • site de comércio eletrônico aecars.store
      • Compras de domínio (variantes sunrapid.com, lydston.com)
      • Hospedagem Cloudflare + Namecheap
      • Configuração de e-mail comercial
      • Aquisição de serviços VPN
    • Operações OSINT:
      • Reconhecimento de organizações educacionais da IASA
      • Perfil e documentação do Target
    • Funções de suporte:
      • Avaliação do painel de SMS (mais de 50 plataformas)
      • Coordenação de falsificação de documentos
      • Aquisição de cartão SIM (vários países)
      • Pesquisa de métodos de pagamento (PayPal, Wise, criptomoeda)
  • Proficiência:
    • Desenvolvimento web (HTML/CSS, Photoshop, Dreamweaver)
    • Gerenciamento de mídias sociais (Meta Business Suite, agendamento)
    • Hospedagem/DNS (cPanel, Cloudflare, Namecheap)
    • Ferramentas de IA (geração de vídeo, criação de conteúdo)
    • Carteiras de criptomoedas (Atomic Wallet, MetaMask)
  • Desafios operacionais:
    • Suspensões de contas da Microsoft (verificação por telefone)
    • Restrições da conta do Facebook (detecção de cartão autorizado)
    • Proibições de contas do Skype
    • Dificuldades na verificação de números (4-6 SIMs por plataforma)
  • Atividades notáveis:
    • Preparou mais de 120 postagens agendadas nas redes sociais
    • Criou vários modelos de comércio eletrônico
    • Coordenado com “troca” (sarrafi) para pagamentos
    • Configuração do sistema gerenciado de rastreamento de presença
    • Criou gráficos em movimento e vídeos promocionais

9. Amir Hossein (153 153)

  • Função: Especialista em penetração de infraestrutura/Engenheiro de rede
  • Evidência: Relatório mensal (e8ed42d00168744e408dd53c795008c76ee788e6)
  • Período de trabalho: Bahman 1402 (janeiro a fevereiro de 2024)
  • Total de horas: 150 horas mensais
  • Especializações:
    • Campanhas de exploração em massa
    • Segmentação de equipamentos de rede (roteadores, modems)
    • Mapeamento e documentação da infraestrutura
    • Configuração do datacenter
    • Análise e exploração de vulnerabilidades
  • Projetos chave:
    • Exploração em massa do modem:
      • Segmentação por dispositivos GoAhead
      • Campanhas TP-LINK, ASUS e D-Link
      • Reconhecimento de equipamentos pfSense
    • Compromisso de equipamentos da Cisco:
      • Exploração de Cisco RV (pequenas empresas)
      • Utilização múltipla do CVE
    • Configuração de rede:
      • Configuração do datacenter Tebyan
      • Teste de equipamento Starlink
    • Projetos de infraestrutura:
      • Implantação do servidor IP-LAND
      • Próximo: Design de sistema em nuvem
      • Configuração de gerenciamento de projetos do Planka
  • Proficiência:
    • Nmap, Núcleos
    • RouterScan, RouterSploit (exploradores automáticos)
    • Motor de busca Fofa
    • Exploração do NetGear
  • Responsabilidades da documentação:
    • Relatórios de gerenciamento de vulnerabilidades do SQLi
    • Relatórios gerenciais de 3 meses
    • Documentação da arquitetura do sistema

Operadores desconhecidos/não atribuídos

10. Operador (es) não identificado (s) - Campanha ConnectWise

  • Função: Equipe de exploração de resposta rápida
  • Período de trabalho: Esfand 1402 (fevereiro-março de 2024)
  • Especializações:
    • Exploração rápida de dia zero/dia N
    • Operações de digitalização em vários países
    • Arma de vulnerabilidade em tempo real
  • Conquista chave: Exploração do CVE-2024-1709 no primeiro dia (dentro de 24 horas após a divulgação)
  • Cobertura geográfica: Israel, Arábia Saudita, Turquia, Jordânia, Emirados Árabes Unidos, Azerbaijão

11. Operador (es) não identificado (s) - Ministério da Justiça da Jordânia

  • Função: Testador de penetração de aplicativos da Web
  • Evidência: relatório services.moj.gov.jo
  • Especializações:
    • Exploração da Telerik (CVE-2019-18935, CVE-2017-11317)
    • Segurança de aplicativos ASP.NET
    • Desenvolvimento de carga útil anti-AV
    • Técnicas de ofuscação de DLL

12. Operador (es) sem nome - Operação Qistas

  • Função: Operador avançado de ameaças persistentes/especialista em exfiltração de dados
  • Evidência: Relatório de desempenho do inverno de 1403 (final)
  • Especializações:
    • Domínio do Active Directory
    • Ataques à cadeia de suprimentos
    • Persistência a longo prazo (meses/anos)
    • Exfiltração massiva de dados (mais de 74 GB documentados)
    • Ignorar EDR (Sophos, Trend Micro)
    • Comprometimento da infraestrutura de backup (Acronis Cloud)
  • Conquista chave: Comprometimento completo do domínio com acesso contínuo

13. Operador (es) não identificado (s) - WISE University

  • Função: Especialista em exploração de sistemas legados
  • Evidência: relatório de acesso inicial wise.edu.jo
  • Especializações:
    • Exploração de PHP CGI (CVE-2012-1823)
    • Comprometimento do banco
    • Implantação da ferramenta Adminer

14. Operador (es) sem nome - Operação iBLaw

  • Função: Especialista em penetração de rede corporativa
  • Evidência: Relatório Bilaw Winter 1403
  • Especializações:
    • Compromisso com o Exchange Server
    • Exploração do controlador de domínio
    • Segmentação do setor jurídico
    • Exfiltração de dados do cliente

Equipe de gerenciamento e suporte

15. “Gestão”/“Modificar” (153 547)

  • Função: Liderança Operacional/Coordenador do Projeto
  • Evidência: mencionado em todos os relatórios diários (reuniões, aprovações, atribuições de tarefas)
  • Responsabilidades:
    • Atribuição e priorização de tarefas
    • Aprovação do orçamento (transferências de criptomoedas)
    • Planejamento estratégico
    • Coordenação de pessoal
    • Análise do relatório
  • Padrão de interação:
    • Reuniões regulares de status (20 a 40 minutos documentados)
    • Autoridade de aprovação para despesas
    • Fornecedor de orientação técnica
    • Decisões de estratégia de campanha

16. “Exchange”/“Sarrafi” (154)

  • Função: Facilitador financeiro/manipulador de criptomoedas
  • Evidência: Mencionado repetidamente nos relatórios de Majid
  • Responsabilidades:
    • Transações de criptomoedas
    • Processamento de pagamentos estrangeiros
    • Compras com cartão SIM
    • Coordenação de falsificação de documentos
    • Pagamentos de VPN/serviços
  • Entidades referenciadas:
    • Gigo Pay (contato de suporte)
    • Binance/Novin Verify (serviços de documentos)
    • Paynans (serviços de pagamento)
  • Nota: Pode ser contratante externo em vez de membro direto da equipe

17. “Gerente técnico” (1.149 153)

  • Função: Consultor técnico sênior
  • Evidência: Mencionado no relatório de exploração do modem de Ali
  • Responsabilidades:
    • Orientação técnica sobre técnicas de exploração
    • Seleção de ferramentas (Censys, etc.)
    • Assistência metodológica
  • Exemplo específico: Auxiliado na estratégia de descoberta e exploração de dispositivos GoAhead

Cronograma operacional

Bahman 1402 (janeiro a fevereiro de 2024):

  • Campanhas de injeção de SQL em alvos israelenses (simania.co.il, bonimonline.co.il)
  • Exploração em massa de dispositivos de rede (dispositivos GoAhead, TP-Link)
  • Manipulação do servidor DNS (mais de 580 modems)

Esfand 1402 (fevereiro-março de 2024):

  • Exploração do ConnectWise CVE-2024-1709
  • Resposta rápida à divulgação de vulnerabilidades (dentro de 24 horas)
  • Campanhas de digitalização em vários países

Mehr-Aban 1403 (setembro-novembro de 2024):

  • Desenvolvimento de infraestrutura de campanha de engenharia social
  • Compras de domínio e criação de modelos
  • Pesquisa e aquisição de painéis de SMS
  • Configuração do sistema de pagamento (criptomoeda, falsificação de documentos)

Dey 1403 (dezembro de 2024 a janeiro de 2025):

  • Foco na exploração do Active Directory
  • Desenvolvimento de evasão de EDR
  • Execução de ataque à cadeia de suprimentos (penetração de parceiros da Qistas)
  • Exfiltração contínua de dados (mais de 74 GB de um único alvo)

Desenvolvimento de capacidades

  • Exploração imediata do CVE-2024-1709 (resposta no primeiro dia)
  • Pesquisa contínua de desvio EDR/AV
  • RATs personalizados, scripts de automação, sistemas de organização de dados

Contexto geopolítico

Interesses da inteligência iraniana:

  • Sistemas jurídicos/judiciais regionais
  • Processos de tomada de decisões governamentais
  • Operações da agência dos EUA no Oriente Médio (USAID, OPIC)
  • Relações com prestadores de serviços de defesa
  • Inteligência do setor de energia
  • Sistemas financeiros (transferência de dinheiro, serviços bancários)

Segmentação e vitimologia

Foco geográfico

Primário: Jordânia, Emirados Árabes Unidos, Arábia Saudita, Israel Secundário: Turquia, Omã, Catar, Azerbaijão Terciário: EUA, Cingapura, Índia

Segmentação setorial

  1. Legal/Judicial:
    • Ministério da Justiça (Jordânia)
    • Serviços jurídicos da Qistas
    • Escritório de advocacia iBA
    • Sistemas judiciais
  2. Educação:
    • Universidade WISE (estudos islâmicos)
    • Organização educacional IASA
  3. Serviços financeiros:
    • Transferência de dinheiro do Swiss Exchange
    • Infraestrutura bancária (por meio de clientes de escritórios jurídicos)
  4. Governo:
    • Várias penetrações na rede governamental
    • Bancos de dados do serviço público
  5. Infraestrutura crítica:
    • Companhia Nacional de Água (Arábia Saudita)
    • Sistemas de aviação (Air Arabia)
    • Setor de energia (por meio de clientes legais)

Tipos de dados exfiltrados

Informações de identificação pessoal (PII):

  • Mais de 11.164 registros de estudantes (WISE University)
  • Milhares de juízes/advogados (banco de dados Qistas)
  • Arquivos de pessoal de funcionários
  • Números de identificação nacionais (Jordânia, Palestina)
  • Digitalizações de passaportes (vários países)

Credenciais:

  • Senhas de administrador de domínio
  • Credenciais do banco de dados (MySQL, Oracle)
  • Acesso à conta de e-mail
  • Credenciais de VPN
  • Logins do sistema de câmera

Documentos classificados/confidenciais:

  • Decisões do Conselho de Ministros da Arábia Saudita
  • Arquivos da Comissão de Aviação Civil da Jordânia
  • Documentação do projeto da USAID
  • Contratos legais com empreiteiros de defesa
  • Comunicações regulatórias da avi

Inteligência operacional:

  • Imagens de CFTV (vigilância 24 horas por dia, 7 dias por semana)
  • Gravações de chamadas VoIP (2023-2024)
  • Arquivos de correspondência por e-mail
  • Documentos de estratégia de negócios
  • Listas e contratos de clientes

Operações de campanha (engenharia social)

Infraestrutura de phishing

Plataformas segmentadas:

  • Anúncios do Facebook (conta kaelajnz)
  • Publicidade no Twitter/X
  • Instagram (@kaelajnz)
  • Anúncios do Google
  • Anúncios da Microsoft
  • Canais de telegrama (com foco nos Emirados Árabes Unidos)
  • Campanhas do LinkedIn

Desafios operacionais:

  • Suspensões de contas da Microsoft (problemas de verificação por telefone)
  • Restrições da conta do Facebook (detecção de cartão autorizado)
  • Problemas de integração de pagamentos no Twitter
  • Dificuldades na verificação de números (4-6 cartões SIM comprados por plataforma)

Infraestrutura de suporte:

  • Painéis de SMS pesquisados (mais de 50 plataformas avaliadas) para smishing
  • Serviços eSIM (testados por meio de ativação por SMS)
  • Serviços de falsificação de documentos (Binance, Novin Verify, Gigo Pay, Paynans)
  • Compras de números do Skype (Emirados Árabes Unidos)
  • Sistema de rastreamento de presença (painel Tick Box)

Desenvolvimento de modelos:

  • Modelo Helios (comércio eletrônico)
  • Modelo Molla Store
  • Modelo automotivo AeCars
  • Mais de 120 postagens programadas de mídia social preparadas

Infraestrutura operacional

  • Serviços de VPN: VPN barata, RegXa VPS
  • VPS: Centro de dados de Tebyan
  • Integração Starlink
  • hospedagem: Hospedagem Cloudflare + Namecheap
  • E-mail: Contas de e-mail comerciais via Namecheap

Ferramentas personalizadas

  1. Projeto RTM: Desenvolvimento de Trojan de acesso remoto
    • Integração com Active Directory
    • Enumeração de pastas de compartilhamento
    • Coleta de informações do sistema
    • Capacidade do Shell
    • Execução binária com switches
  2. Scanners automatizados:
    • Modelos de núcleos para CVE-2024-1709
    • RouterScan/RouterSploit - exploradores automáticos
    • Scanners de vulnerabilidade do WordPress (WPScan)
  3. Organização de dados:
    • Planka (Gerenciamento de Projetos)
    • NextCloud (compartilhamento de arquivos)
    • Sistemas de documentação

Análise Técnica de Tradecraft

Metodologias de ataque

A. Reconhecimento

Ferramentas e técnicas:

  • Motores de busca: Shodan, Censys, ZooEye, Fofa, Hunter, Odin
  • Enumeração de subdomínios por meio de pesquisas reversas de IP
  • Mapeamento de infraestrutura usando Nmap, Nuclei

B. Acesso inicial

  • Exploração de vulnerabilidades (incluindo, mas não se limitando a):
    • CVE-2024-1708/1709 (ConnectWise)
    • CVE-2019-18935 (Desserialização da Telerik)
    • CVE-2017-11317 (Upload de arquivo Telerik)
    • CVE-2012-1823 (PHP CGI RCE)
    • CVE-2017-3506 (Oracle WebLogic)
  • Coleta de credenciais:
    • Extração de senha do banco de
    • Roubo de credenciais do navegador
    • Enumeração do Active Directory

C. Persistência

  • Implantação do Web shell (Adminer, PHP personalizado)
  • Criação de conta de administrador de domínio
  • Comprometimento do sistema de backup (Acronis, Oracle)
  • Infraestrutura VPN (serviços VPN Namecheap)
  • Portais de upload de arquivos em domínios comprometidos

D. Evasão de defesa

Anti-EDR:

  • Cargas úteis de DLL ofuscadas
  • Estratégias de sequestro de DLL
  • Ignorar:
    • SentinelOne
    • Sophos
    • Trend Micro
    • CrowdStrike (testes de laboratório)

Segurança operacional:

  • Rotação de VPN (IPs europeus)
  • Compartimentalização da infraestrutura
  • Armazenamento criptografado de documentos (VeraCrypt)
  • Instantâneos de máquinas virtuais para implantação rápida

E. Movimento lateral

  • Exploração do Active Directory
  • Enumeração de pastas de compartilhamento
  • Despejo de credenciais
  • Dinamização da cadeia de suprimentos (redes de parceiros)

F. Exfiltração de dados

Métodos:

  • Despejos de banco de dados via Adminer
  • Acesso ao backup em nuvem (portais Acronis)
  • Downloads de imagens de CFTV
  • Extração de arquivos de e-mail (Exchange)
  • Roubo de gravação de chamadas VoIP

Preparação de dados:

  • Organizado por cliente/projeto
  • Arquivos criptografados
  • Tipos de arquivo categorizados (Office, Audio, Config, Database)

Conclusão

Este conjunto de dados representa uma das divulgações operacionais mais abrangentes do APT35/Charming Kitten até o momento. O agente da ameaça demonstra:

  • Paciência estratégica: Manutenção de acesso plurianual
  • Sofisticação técnica: Desenvolvimento de ferramentas personalizadas, evasão de EDR, ataques à cadeia de suprimentos
  • Amplitude operacional: Campanhas simultâneas em mais de 6 países
  • Segmentação de alto valor: Setores governamentais, legais e de infraestrutura crítica
  • Missão centrada em dados: Exfiltração sistemática priorizando o valor da inteligência

O compromisso de entidades como a Qistas (serviços jurídicos) e a IBlaw fornece ao Irã uma visibilidade sem precedentes sobre:

  • Procedimentos judiciais regionais
  • Operações do governo dos EUA no Oriente Médio
  • Relações com prestadores de serviços de defesa
  • Processos de tomada de decisões governamentais
  • Planejamento de infraestrutura crítica

Isso mostra que os elementos da cadeia de suprimentos estão sendo cada vez mais usados para obter informações sobre organizações de interesse. Isso representa uma campanha de espionagem contínua, ativa e moderadamente bem-sucedida, com implicações consideráveis para a segurança regional do Oriente Médio, os interesses dos EUA e os procedimentos legais internacionais.

Referências

Koushik Pal
Threat Researcher at CloudSEK, specializing in digital forensics, incident response, and adversary hunting to uncover attacker motives, methods, and operations.
Pagilla Manohar Reddy
Threat Researcher at CloudSEK

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
March 6, 2026
7
min
AI, the Iran-US Conflict, and the Threat to US Critical Infrastructure
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 5, 2026
5
min
A Threat Actor Landscape Assessment of ICS/OT Targeting in the 2026 Iran-US Conflict AND THE SCALE OF THE RISK
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 3, 2026
7
min
Campanha do Trojan RedAlert: falso aplicativo de alerta de emergência espalhado por SMS falsificando o Comando da Frente Interna de Israel
Leia mais