Threat Rating Card
Threat Rating: Critical & Active
APT35 (Charming Kitten / Moses-Staff / Al-Qassam) is widely attributed to the IRGC Intelligence Organization and appears to maintain pre-positioned access across multiple GCC environments targeted during the campaign. Iranian cyber retaliation activity appears to be underway. Defensive teams should prioritize immediate monitoring and mitigation.
1. VISÃO GERAL DA SITUAÇÃO
Em 28 de fevereiro de 2026, os EUA e Israel lançaram a Operação Epic Fury, destruindo a infraestrutura nuclear do Irã e matando o Líder Supremo Khamenei. A internet do Irã foi reduzida para 4%. O Irã retaliou com uma campanha de mísseis balísticos e drones de vários dias atingindo sete países simultaneamente: Arábia Saudita, Emirados Árabes Unidos, Kuwait, Bahrein, Catar, Jordânia e Israel. O Estreito de Ormuz está fechado e a campanha está em andamento a partir da publicação.
2. DESCOBERTA CENTRAL: O RECONHECIMENTO CIBERNÉTICO PRECEDEU OS ATAQUES CINÉTICOS
A divulgação de KittenBusters (Setembro-outubro de 2025) fornece informações sobre a atividade de reconhecimento que precedeu a atual campanha de greve. Vários países alvos dos ataques iranianos já haviam sido perfilados ou penetrados pelo APT35. A correlação entre alvos cibernéticos e locais de ataque de mísseis é sistemática:
Cyber Recon Table
| Cyber Recon Target |
APT35 Pre-Positioned Access |
Kinetic Strike That Followed |
| Jordan Civil Aviation |
Files exfiltrated via Telerik CVE |
Amman struck; 13 BMs + 49 drones |
| UAE / Dubai Government |
Internal materials accessed; flydubai BellaCiao deployment |
Al Dhafra, Dubai Airport, Jebel Ali struck; 167 missiles + 541 UAVs |
| Saudi Council of Ministers |
Decision documents exfiltrated; National Water Co. penetrated |
Riyadh, Eastern Province struck; Shamoon 4.0 already deployed Jan 24 |
| Kuwait Civil Aviation |
Airport confirmed target; gov networks mapped |
Airport terminal damaged; 97 BMs + 283 drones engaged |
| Israel ICS/SCADA |
580+ modems exploited; Rafael Defense Systems targeted |
Nationwide barrages; Iron Dome breached multiple times |
3. O AGENTE DA AMEAÇA: APT35 — AGORA UMA PLATAFORMA IRGC UNIFICADA
O APT35 (também conhecido como Charming Kitten, Phosphorus, Mint Sandstorm, Magic Hound) é atribuído à Organização de Inteligência do IRGC, Unidade 1500, Departamento 40, comandada por Abbas Rahrovi por meio da empresa de fachada Zharf Andishaan Tafakkor Sefid. O vazamento do KittenBusters confirma que duas personalidades anteriormente distintas — Moses-Staff (operações destrutivas, focadas em Israel) e Al-Qassam Cyber Fighters (DDoS, finanças dos EUA/Israel) — são financiadas com o mesmo orçamento operacional.
Isso significa que todos os ataques anteriores do Moses-Staff devem ser reatribuídos ao Departamento 40 do IRGC-IO. Após a morte relatada de Khamenei e a contínua escalada regional, a personalidade de The Moses-Staff pode ser reativada para operações destrutivas se a escalada continuar.
4. OPERAÇÕES CIBERNÉTICAS ATIVAS (A PARTIR DE 2 DE MARÇO DE 2026)
Actor Threat Table (Responsive Cards)
| Actor |
Affiliation |
Confirmed Actions |
Expected Next Targets |
| Handala Hack |
MOIS (Iran) |
Jordan infrastructure attacked; Israeli healthcare breach; ICS disruption claimed; UAE threatened |
Israeli hospitals, water; UAE govt/financial networks; Jordan fuel infra |
| APT35 / Dept. 40 |
IRGC-IO |
Pre-positioned access across Jordan, UAE, Saudi, Kuwait confirmed; webshell activation likely underway |
Israel (via Moses-Staff wiper); Jordan MoJ; UAE aviation; Saudi energy |
| APT33 / Elfin |
IRGC |
Shamoon 4.0 wiper deployed Jan 24, 2026 — 15,000 Saudi energy workstations wiped |
Saudi Aramco; GCC petrochemical; UAE energy sector |
| CyberAv3ngers |
IRGC-CEC |
Historically targeted Unitronics PLCs; on elevated alert |
US/GCC water & wastewater ICS; Israeli industrial systems |
Handala Hack
Affiliation: MOIS (Iran)
Confirmed Actions: Jordan infrastructure attacked; Israeli healthcare breach; ICS disruption claimed; UAE threatened
Expected Next Targets: Israeli hospitals, water; UAE govt/financial networks; Jordan fuel infra
APT35 / Dept. 40
Affiliation: IRGC-IO
Confirmed Actions: Pre-positioned access across Jordan, UAE, Saudi, Kuwait confirmed; webshell activation likely underway
Expected Next Targets: Israel (via Moses-Staff wiper); Jordan MoJ; UAE aviation; Saudi energy
APT33 / Elfin
Affiliation: IRGC
Confirmed Actions: Shamoon 4.0 wiper deployed Jan 24, 2026 — 15,000 Saudi energy workstations wiped
Expected Next Targets: Saudi Aramco; GCC petrochemical; UAE energy sector
CyberAv3ngers
Affiliation: IRGC-CEC
Confirmed Actions: Historically targeted Unitronics PLCs; on elevated alert
Expected Next Targets: US/GCC water & wastewater ICS; Israeli industrial systems
5. PRINCIPAL MALWARE DO JOGO
O episódio 3 do vazamento do KittenBusters lançou o código-fonte completo do APT35 para seu malware personalizado. As principais ferramentas que estão sendo implantadas contra os alvos do GCC incluem BellaCiao (webshell C#/.NET com persistência de serviço do Windows, testado contra Defender/Kaspersky/ESET), Sagheb RAT (keylogger FUD de código nativo usando roteamento TOR, rouba credenciais do Firefox e Telegram) e o Python/Webshell Framework para gerenciar vários hosts comprometidos. A divulgação do código-fonte permite que os defensores criem regras precisas da YARA.
6. VULNERABILIDADES PRIORITÁRIAS EXPLORADAS PELO APT35
CVE Table - Responsive Cards
| CVE |
Product |
APT35 Usage |
| CVE-2024-1709/1708 |
ConnectWise ScreenConnect |
Day-1 exploitation; mass multi-country campaigns |
| CVE-2021-34473 (ProxyShell) |
Microsoft Exchange |
Institutional compromise and credential extraction |
| CVE-2024-21887 |
Ivanti Connect Secure (VPN) |
Initial access into govt/enterprise networks |
| CVE-2021-44228 |
Apache Log4j (Log4Shell) |
Broad Java application targeting |
| CVE-2019-18935 |
Telerik .NET |
Used in Jordan Ministry of Justice penetration |
| GoAhead/TP-LINK/ASUS/D-Link |
Consumer/SMB Routers |
580+ devices compromised for DNS manipulation |
CVE: CVE-2024-1709/1708
Product: ConnectWise ScreenConnect
APT35 Usage: Day-1 exploitation; mass multi-country campaigns
CVE: CVE-2021-34473 (ProxyShell)
Product: Microsoft Exchange
APT35 Usage: Institutional compromise and credential extraction
CVE: CVE-2024-21887
Product: Ivanti Connect Secure (VPN)
APT35 Usage: Initial access into govt/enterprise networks
CVE: CVE-2021-44228
Product: Apache Log4j (Log4Shell)
APT35 Usage: Broad Java application targeting
CVE: CVE-2019-18935
Product: Telerik .NET
APT35 Usage: Used in Jordan Ministry of Justice penetration
CVE: GoAhead/TP-LINK/ASUS/D-Link
Product: Consumer/SMB Routers
APT35 Usage: 580+ devices compromised for DNS manipulation
7. INDICADORES PRIORITÁRIOS DE COMPROMISSO (IOCS)
Domínios a serem bloqueados imediatamente: dreamy-jobs.com (honeypot de contrainteligence APT35, confirmado pelo Google/Mandiant), gassam.su (domínio pessoal do Al-Qassam), aecars.store (infraestrutura de phishing), 1543.ir (VoIP interno).
Intervalos de IP principais: 95.169.196.0/24 e 185.141.63.0/24 (hospedagem de operações); 88.80.145.0/24 (ouvinte C2, preparação de arquivos, retransmissão SSH); 103.57.251.31 (proxy de anonimização).
Indicadores de e-mail: pessoas do ProtonMail com nomes Ocidentais em grande escala ([nome]). [sobrenome] @protonmail .com (padrão). As contas ativas verificadas incluem may.arnold@ e [email protected].
8. RECOMENDAÇÕES DEFENSIVAS
IMEDIATO — Próximas 24 horas
- Bloqueia todos os domínios IOC e intervalos de IP listados acima em firewalls de perímetro e DNS.
- Patch de emergência: ConnectWise ScreenConnect, ProxyShell (Exchange), Ivanti Connect Secure, Telerik. Se a aplicação de patches não for possível, isola os sistemas.
- Obtenha a execução do Plink.exe em ambientes de servidor (indicador primário BellaCiao Variant 2) e os webshells Adminer.php /ASPX personalizados em servidores voltados para a Internet.
- Alterna todas as credenciais de administrador de domínio. Audite contas de administrador criadas a partir de janeiro de 2024.
- Se sua organização opera na Jordânia, nos Emirados Árabes Unidos ou na Arábia Saudita: inicie uma avaliação imediata de compromisso.
ALTA PRIORIDADE — Dentro de 72 horas
- Configure a detecção comportamental para Sagheb RAT: estabelecimento do circuito TOR a partir de processos não usuários; tráfego HTTP criptografado por XOR.
- Audite a frota de roteadores SOHO/Consumer (TP-LINK, ASUS, D-Link, Cisco RV) quanto ao comportamento de redirecionamento de DNS.
- Valide a postura de mitigação de DDoS — os ataques do padrão Al-Qassam ao setor financeiro são esperados em poucos dias.
- Aplique a MFA em todos os lugares — o Sagheb RAT rouba especificamente as credenciais do Telegram Desktop e do Firefox para ignorar a autenticação.
- Se você estiver usando Sophos, Trend Micro ou SentinelOne: o APT35 documentou uma pesquisa de desenvolvimento de AV contra todos os três. Verifique se a cobertura comportamental (não apenas baseada em assinaturas) está ativada.
Strategic Context
STRATEGIC CONTEXT
Following the reported death of Khamenei and the escalation triggered by Operation Epic Fury,
Iranian cyber units are likely to play a more prominent role in retaliation and signaling activities.
At the same time, reduced staffing within CISA due to a DHS funding lapse may limit coordination
and response capacity during the early stages of the crisis. As a result, the period immediately
following the operation is likely to represent an elevated risk window for Iranian cyber activity
targeting GCC infrastructure.
.jpg)
