Espionagem digital iraniana mira governos e empresas Latinas, alerta relatório

Estudo da WatchGuard mostra que grupo MuddyWater foca no roubo de propriedade intelectual e dados de navegadores mesmo durante tréguas geopolíticas

Compartilhar:

Os avanços diplomáticos e eventuais acordos de flexibilização de sanções nos conflitos internacionais não se traduzem automaticamente em trégua no ciberespaço. O alerta é do mais recente Geopolitical Cyber Report da WatchGuard Technologies, que detalha uma campanha ativa de espionagem cibernética conduzida pelo grupo MuddyWater (também conhecido como Seedworm), braço digital ligado ao Ministério de Informação e Segurança do Irã (MOIS).

 

De acordo com o relatório, as sanções econômicas que dificultam o acesso legal a tecnologias avançadas elevaram drasticamente o valor estratégico das operações digitais. O foco dos criminosos mudou de ataques destrutivos para a recolha silenciosa de dados de engenharia, segredos comerciais e propriedade intelectual de grandes corporações. Entre os alvos confirmados no primeiro trimestre de 2026 estão uma grande fabricante de eletrônicos na Coreia do Sul, agências governamentais, operadoras aeroportuárias e provedores de serviços financeiros na América Latina.

 

Setor corporativo na mira

A análise da WatchGuard destaca que o risco cibernético decorrente de tensões geopolíticas não se restringe a órgãos de governo ou infraestrutura crítica. Qualquer empresa que possua dados valiosos, segredos de mercado ou que forneça acesso direto a clientes (downstream access) pode ser utilizada como vetor de ataque. Os operadores focam fortemente em comprometer painéis administrativos e roubar identidades digitais.

 

Para enganar os sistemas tradicionais de detecção de endpoints (EDR), o MuddyWater refinou as suas táticas abusando de softwares legítimos. O grupo utiliza a técnica de DLL Side-Loading, substituindo arquivos de instruções de código legítimos para fazer com que aplicações de segurança confiáveis executem payloads maliciosos sem disparar alertas. Além disso, em vez de usar comandos de PowerShell, altamente monitorados, o grupo utiliza o motor executável node.exe para rodar scripts automatizados de forma camuflada.

 

O roubo de informações confidenciais é consolidado pela ferramenta ChromElevator, capaz de burlar as proteções de criptografia de navegadores como Chrome e Edge para extrair senhas, cookies de sessão ativa e dados financeiros salvos pelos usuários. Por fim, os dados roubados são enviados para fora da rede utilizando o serviço público de transferência de arquivos sendit.sh, misturando o ataque ao tráfego legítimo de internet da empresa.

 

Como mitigar riscos

A WatchGuard reforça que, independentemente do cenário político internacional, as melhores práticas de defesa para as empresas permanecem consistentes e devem focar na telemetria comportamental, abandonando a dependência de assinaturas de malwares conhecidos.

 

“A espionagem cibernética moderna é extremamente furtiva porque ela se disfarça na rotina diária das organizações. Os atacantes não estão criando malwares clássicos; eles estão sequestrando ferramentas e processos legítimos para roubar credenciais diretamente dos navegadores”, avalia Renato Marchi, Sales Engineer Manager LATAM da WatchGuard.

 

“Para as empresas, isso significa que a defesa não pode depender apenas de antivírus tradicionais. É preciso focar em monitoramento comportamental e adotar uma higiene de acesso rigorosa, pois qualquer negócio com propriedade intelectual ou acesso a dados de clientes agora tem uma importância ainda maior no tabuleiro geopolítico digital, especialmente com novas leis de cibersegurança sendo criadas por cada país responsabilizando entidades com o seu armazenamento correto e seguro.”

 

A recomendação prática para as organizações envolve a implementação imediata de controles capazes de alertar sobre o uso incomum de softwares confiáveis. Também é fundamental monitorar comandos de salvamento e extração de hives do registro do Windows, como o reg save, além de forçar a redefinição de senhas e a invalidação de cookies de sessão sob qualquer suspeita de invasão.

 

Para conter o avanço dessas ameaças stealth, as empresas devem adotar uma gestão rígida de acessos com Autenticação Multifator (MFA) para o máximo de contas possíveis, privilegiadas, ou não, controlando seus acessos em endpoints, VPN e Serviços Cloud/SaaS, combinada com a auditoria e restrição de conexões com serviços públicos de compartilhamento de arquivos sem justificativa de negócio. O relatório completo possui classificação TLP:CLEAR e está disponível para consulta de equipes de segurança da informação.

 

Conteúdos Relacionados

Security Report | Overview

Golpe que engana funcionários sem vírus se multiplica 37 vezes em dois anos

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

Gartner: US$ 234 bilhões gastos com aplicações corporativas correm risco com IA Agêntica

Arbitragem agêntica rompe o modelo tradicional de licenciamento SaaS baseado em usuários
Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...
Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...