**MuddyWater** APT (também conhecido como Seedworm) foi identificado como o ator por trás de uma campanha recente que afetou organizações em quatro continentes no primeiro trimestre de 2026. Os ataques, que visaram uma gama diversificada de indústrias, demonstram as táticas em evolução e a crescente sofisticação do grupo. ### Setores Visados A campanha visou manufatura industrial e eletrônica, órgãos de educação e setor público, serviços financeiros e serviços profissionais. Notavelmente, um importante fabricante sul-coreano de eletrônicos foi invadido, com os atacantes mantendo acesso à sua rede por uma semana em fevereiro de 2026. Outras vítimas incluíram um aeroporto internacional no Oriente Médio, fabricantes industriais do Sudeste Asiático e um provedor de serviços financeiros da América Latina. ### DLL Side-Loading para Discrição Os atacantes confiaram fortemente em técnicas de DLL side-loading para executar código malicioso, disfarçando-se como software legítimo. Binários assinados da **Fortemedia** (fmapp.exe) e **SentinelOne** (sentinelmemoryscanner.exe) foram abusados para carregar DLLs maliciosas. De acordo com as equipes de cibersegurança da **Broadcom**, o uso de "sentinelmemoryscanner.exe" é uma escolha deliberada para contornar a detecção baseada em assinatura. Anteriormente, o **Group-IB** documentou o uso de "fmapp.exe" para carregar "fmapp.dll" em conexão com a campanha **Operation Olalampo** do **MuddyWater**. A **Huntress** relatou que esta DLL contém código para se conectar a um endereço IP controlado pelo atacante. ### ChromElevator: Roubo de Dados do Navegador Ambas as DLLs incorporaram uma ferramenta de código aberto chamada **ChromElevator**, projetada para roubar senhas, cookies e dados de cartões de pagamento de navegadores baseados em Chromium. Essa técnica permite que os atacantes contornem as proteções de Criptografia Vinculada ao Aplicativo (ABE) em navegadores como o **Google Chrome**. ### Node.js e PowerShell para Reconhecimento Um aspecto notável dos ataques é o uso de scripts Node.js para lançar código PowerShell responsável pelas operações de descoberta e coleta de informações. Os dados roubados foram armazenados em sendit[.]sh, um serviço público de transferência de arquivos. Pesquisadores da **Symantec** e **Carbon Black** observaram que uma cadeia de implantes baseada em node.exe foi usada para implantar scripts PowerShell que realizaram reconhecimento, captura de tela, roubo do hive SAM, escalonamento de privilégios e tunelamento de proxy reverso SOCKS5. ### Movimentação Lateral e Persistência Os ataques também envolveram a extração de credenciais para facilitar a movimentação lateral pelas redes. Na intrusão que visou o fabricante sul-coreano de eletrônicos, o **MuddyWater** realizou repetidamente reconhecimento baseado em PowerShell e reexecutou os pares de DLL side-loading para manter o acesso. ### Sanções Iranianas e Atividade Cibernética Mais Ampla O Conselho Europeu impôs recentemente sanções contra a empresa iraniana **Emennet Pasargad** por hackear um serviço de SMS sueco, acessar um banco de dados de assinantes francês e espalhar desinformação durante os Jogos Olímpicos de Paris de 2024. A **Emennet Pasargad**, também conhecida como Shahid Shushtari e afiliada ao Comando Cibernético-Eletrônico da Guarda Revolucionária Islâmica do Irã (IRGC-CEC), foi associada a danos financeiros significativos e interrupção para empresas e agências governamentais dos EUA. Hackers apoiados pelo Irã também foram ligados a uma campanha de exfiltração visando organizações nos EUA, Israel, Arábia Saudita e Turquia. Embora esses incidentes tenham sido reivindicados por uma persona pró-iraniana chamada **Ababil of Minab**, a análise da **Gambit Security** ligou a infraestrutura da campanha ao Ministério de Inteligência e Segurança do Irã (MOIS). ### FileFiend: Ferramenta de Exfiltração A campanha utilizou uma ferramenta personalizada de coleta e exfiltração de arquivos em C++ codinome FileFiend. Esta ferramenta podia enumerar unidades locais e compartilhamentos SMB, percorrer o sistema de arquivos e enviar arquivos para um servidor C2 codificado. Alternativamente, dados de interesse eram compactados em arquivos RAR e enviados para o site público da organização, de onde eram extraídos usando o acelerador de download de linha de comando Axel e tunelados através de proxychains.