Ligações entre APTs iranianos e cibercrime convencional estão se tornando cada vez mais visíveis

Especialistas da Check Point Research analisaram a atividade de grupos ligados ao Ministério da Inteligência e Segurança do Irã (MOIS) e identificaram uma tendência interessante: a linha entre APTs patrocinados pelo Estado e o cibercrime "comum" está desaparecendo steadily.

Anteriormente, as operações estatais usavam apenas cibercrime e hacktivismo como cobertura para complicar a atribuição, mas agora alguns APTs apoiados pelo governo começaram a aproveitar ativamente o ecossistema cibercriminoso, usando corretores de acesso, ofertas do mercado negro e programas de afiliados. Aqui estão alguns exemplos:

⭕️ Void Manticore (Handala) — usou o infostealer comercial Rhadamanthys, que é vendido no mercado negro. ⭕️ MuddyWater — empregou ferramentas como Tsundere Botnet e Castle Loader, anteriormente ligadas a outros clusters cibercriminosos, tornando a atribuição mais difícil. ⭕️ Grupo MOIS sem nome — implantou malware fornecido pelo grupo RaaS Qilin sob um programa de afiliados, o que inicialmente levou os analistas a atribuir o ataque ao próprio Qilin.

Esses casos ilustram uma mudança da imitação para a exploração ativa da infraestrutura cibercriminosa. Para atores ligados ao MOIS, essa abordagem oferece benefícios operacionais claros: amplia as capacidades de ataque, complica a atribuição e desfoca o quadro da atividade iraniana. Coletivamente, esses exemplos mostram que o cibercrime evoluiu de mera cobertura para uma ferramenta prática nas operações de APT.

💬 Discutir