**MuddyWater**, um grupo APT com laços com o Irã, está ativamente envolvido em uma ampla campanha de ciberespionagem visando uma gama diversificada de organizações globalmente. As vítimas incluem um importante fabricante sul-coreano de eletrônicos, agências governamentais, um aeroporto internacional no Oriente Médio, fabricantes industriais na Ásia e instituições educacionais. Pesquisadores da **Symantec** relatam que o ator de ameaça manteve acesso à rede de um importante fabricante sul-coreano de eletrônicos por aproximadamente uma semana em fevereiro de 2026. Os objetivos do grupo parecem ser impulsionados por inteligência, focando no roubo de propriedade industrial e intelectual, espionagem governamental e obtenção de acesso a clientes downstream ou redes corporativas. ### Abuso de Fortemedia e SentinelOne A campanha do Seedworm depende fortemente de DLL sideloading, uma técnica onde software legítimo e assinado é manipulado para carregar DLLs maliciosas. Isso permite que os atacantes contornem medidas de segurança e executem código dentro de um processo confiável. Dois binários legítimos abusados nesta campanha são 'fmapp.exe', um utilitário de áudio legítimo da **Fortemedia**, e 'sentinelmemoryscanner.exe', um componente do **SentinelOne**. As DLLs maliciosas (fmapp.dll e sentinelagentcore.dll) continham o **ChromElevator**, uma ferramenta de pós-exploração prontamente disponível projetada para roubar dados armazenados em navegadores baseados em Chrome. A **Symantec** também observou o uso contínuo do PowerShell, consistente com ataques anteriores do Seedworm. No entanto, nestes incidentes recentes, os payloads do PowerShell são controlados através de loaders Node.js em vez de execução direta. O PowerShell é usado para várias atividades maliciosas, incluindo captura de screenshots, reconhecimento, busca de payloads adicionais, estabelecimento de persistência, roubo de credenciais e criação de túneis SOCKS5. ### Ataque a uma Empresa Coreana De acordo com a análise da **Symantec**, o ataque ao fabricante sul-coreano de eletrônicos ocorreu de 20 a 27 de fevereiro. O nome da organização visada não foi divulgado. As fases iniciais do ataque envolveram reconhecimento de host e domínio, seguido por enumeração de antivírus via WMI, captura de screenshots e implantação de malware adicional. O roubo de credenciais foi alcançado através de prompts falsos do Windows, roubo de hives de registro (SAM/SECURITY/SYSTEM) e uso de ferramentas de abuso de tickets Kerberos. A persistência foi estabelecida através de modificações de registro, com beaconing ocorrendo em intervalos de 90 segundos. Binários com sideload foram relançados repetidamente para manter acesso persistente. "A cadência é novamente consistente com atividade impulsionada por implantes em vez de presença contínua do operador", observaram os pesquisadores. Os atacantes utilizaram o sendit.sh, um serviço público de compartilhamento de arquivos, para exfiltração de dados, provavelmente para ofuscar a atividade maliciosa e misturá-la com o tráfego de rede normal. No geral, a **Symantec** destaca que a mais recente campanha do Seedworm é notável por sua expansão geográfica, maturidade operacional e o abuso de ferramentas e serviços legítimos, indicando uma mudança para métodos de ataque mais furtivos e sofisticados.  ## 99% do que a Mythos encontrou ainda não foi corrigido. A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes de renderização e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. [Garanta Seu Lugar](https://hubs.li/Q04crVgD0)