A Group-IB analisou uma nova campanha na região MENA e atribuiu-a ao APT iraniano MuddyWater. As táticas principais dos atacantes permanecem consistentes para este grupo, mas os pesquisadores identificaram novas variantes de malware.

Uma amostra notável é o backdoor CHAR, que usa um bot do Telegram como seu canal C2. Tal abordagem tornou-se generalizada no ano passado: aproveitar a API do Telegram ajuda a disfarçar o tráfego C2 como legítimo, reduzindo simultaneamente os custos de infraestrutura. No entanto, se os pesquisadores descobrirem o nome de usuário do bot, isso pode revelar informações valiosas sobre atividade maliciosa: por exemplo, a Group‑IB extraiu-o de uma amostra de malware e analisou os comandos executados.

Interessantemente, o novo backdoor continha vestígios de código gerado com a ajuda da IA. Isso mostra mais uma vez como a IA permite que os atores de ameaças expandam rapidamente seu arsenal com técnicas de ataque em tendência.

💬 Discutir

APT MuddyWater implementa novas técnicas — não sem a ajuda da IA