Analysis
A Check Point identificou uma campanha de ciberespionagem atribuída ao grupo Cavern Manticore, que utiliza um novo framework modular para comprometer organizações e fornecedores de serviços de IT
08/07/2026
|
A Check Point identificou uma nova campanha de ciberespionagem atribuída ao grupo Cavern Manticore, ligado ao Ministério da Informação e Segurança do Irão. Os ataques visaram entidades governamentais e fornecedores de serviços de IT em Israel, recorrendo a um framework modular de comando e controlo (C&C) desenvolvido em .NET. Segundo os investigadores, o grupo, que poderá ter ligações ao subgrupo Lyceum (também conhecido como Hexane ou SiameseKitten), utiliza uma arquitetura modular que separa as funções de comunicação das capacidades pós-compromisso, permitindo adaptar o malware às características de cada vítima e prolongar o acesso aos sistemas comprometidos. Em vez de recorrer a técnicas tradicionais de ofuscação, o framework utiliza diferentes formatos de compilação para os seus componentes, obrigando os analistas a utilizar ferramentas distintas para analisar cada módulo. A Check Point refere que esta abordagem funciona como um mecanismo para dificultar a análise sem recorrer a empacotadores ou encriptação de código. A cadeia de infeção começa com o abuso da funcionalidade de atualização de software da plataforma SysAid, utilizada para carregar uma biblioteca dinâmica (DLL) maliciosa do WinDirStat, que desencadeia a execução do agente Cavern. Depois de estabelecer ligação ao servidor de comando e controlo, o agente descarrega módulos adicionais em função das instruções recebidas. Os módulos permitem realizar operações sobre ficheiros, enumerar e manipular bases de dados, executar ataques de força bruta contra diretórios LDAP e partilhas SMB, efetuar reconhecimento da rede e estabelecer túneis de comunicação através de SOCKS5 e WebSocket. O malware utiliza componentes geridos e nativos e executa cada módulo num domínio de aplicação independente, eliminando-o da memória após a sua utilização para dificultar a análise forense. A Check Point considera que o framework poderá ter sido parcialmente desenvolvido com recurso a inteligência artificial. No entanto, comentários presentes no código, erros ortográficos e inconsistências entre módulos indicam uma intervenção humana significativa durante o desenvolvimento. Durante as intrusões observadas, os atacantes utilizaram ferramentas de monitorização e gestão remota (RMM) para se moverem lateralmente entre sistemas comprometidos. Recorrem ainda a tecnologias de acesso remoto através do navegador e exploram funcionalidades nativas, como a impressão remota, para exfiltrar informação. |