Analysis

Cibergrupo ligado ao Irão ataca com novo malware modular

A Check Point identificou uma campanha de ciberespionagem atribuída ao grupo Cavern Manticore, que utiliza um novo framework modular para comprometer organizações e fornecedores de serviços de IT

08/07/2026

Cibergrupo ligado ao Irão ataca com novo malware modular
Akbar Nemati / Unsplash

A Check Point identificou uma nova campanha de ciberespionagem atribuída ao grupo Cavern Manticore, ligado ao Ministério da Informação e Segurança do Irão. Os ataques visaram entidades governamentais e fornecedores de serviços de IT em Israel, recorrendo a um framework modular de comando e controlo (C&C) desenvolvido em .NET.

Segundo os investigadores, o grupo, que poderá ter ligações ao subgrupo Lyceum (também conhecido como Hexane ou SiameseKitten), utiliza uma arquitetura modular que separa as funções de comunicação das capacidades pós-compromisso, permitindo adaptar o malware às características de cada vítima e prolongar o acesso aos sistemas comprometidos.

Em vez de recorrer a técnicas tradicionais de ofuscação, o framework utiliza diferentes formatos de compilação para os seus componentes, obrigando os analistas a utilizar ferramentas distintas para analisar cada módulo. A Check Point refere que esta abordagem funciona como um mecanismo para dificultar a análise sem recorrer a empacotadores ou encriptação de código.

A cadeia de infeção começa com o abuso da funcionalidade de atualização de software da plataforma SysAid, utilizada para carregar uma biblioteca dinâmica (DLL) maliciosa do WinDirStat, que desencadeia a execução do agente Cavern. Depois de estabelecer ligação ao servidor de comando e controlo, o agente descarrega módulos adicionais em função das instruções recebidas.

Os módulos permitem realizar operações sobre ficheiros, enumerar e manipular bases de dados, executar ataques de força bruta contra diretórios LDAP e partilhas SMB, efetuar reconhecimento da rede e estabelecer túneis de comunicação através de SOCKS5 e WebSocket. O malware utiliza componentes geridos e nativos e executa cada módulo num domínio de aplicação independente, eliminando-o da memória após a sua utilização para dificultar a análise forense.

A Check Point considera que o framework poderá ter sido parcialmente desenvolvido com recurso a inteligência artificial. No entanto, comentários presentes no código, erros ortográficos e inconsistências entre módulos indicam uma intervenção humana significativa durante o desenvolvimento.

Durante as intrusões observadas, os atacantes utilizaram ferramentas de monitorização e gestão remota (RMM) para se moverem lateralmente entre sistemas comprometidos. Recorrem ainda a tecnologias de acesso remoto através do navegador e exploram funcionalidades nativas, como a impressão remota, para exfiltrar informação.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº30 JUNHO 2026

IT SECURITY Nº30 JUNHO 2026

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.