Grupo de cibercriminosos iraniano facilita acesso inicial a redes no Médio Oriente

O grupo de cibercriminosos iraniano atribuído ao Ministério de Inteligência e Segurança do Irã (MOIS), o tem como alvos principais entidades governamentais e empresas de telecomunicações na região.

O UNC1860 utiliza ferramentas sofisticadas, incluindo controlos de malware como TemplePlay e ViroGreen, que permitem a intrusão em redes e o controlo remoto do malware implantado. Estas ferramentas exploram vulnerabilidades em servidores voltados para a Internet, facilitando a entrada de outros agentes de ameaças. Uma vez estabelecida uma presença inicial, o grupo emprega um conjunto de implantes e backdoors passivos, desenhados para evitar deteção e manter o acesso a longo prazo.

Segundo a Mandiant, o UNC1860 exibe um comportamento semelhante a outros grupos ligados ao Irão, como o APT34, e destaca-se pela sua capacidade de manter uma posição discreta nas redes das vítimas, utilizando técnicas avançadas de ofuscação, como o uso de comandos não documentados e comunicação criptografada via HTTPS.

Este grupo representa um recurso estratégico significativo para as operações cibernéticas iranianas, sendo utilizado em campanhas que podem abranger desde espionagem até ciberataques.