TAMECAT Porta dos Fundos
Uma onda de atividades de espionagem ligadas ao grupo APT42, alinhado ao Estado iraniano, veio à tona, com analistas observando um esforço concentrado contra indivíduos e organizações ligados aos interesses da Guarda Revolucionária Islâmica (IRGC). Detectada no início de setembro de 2025 e denominada SpearSpecter, essa operação demonstra uma sofisticada combinação de engenharia social e implantação de malware personalizado com o objetivo de coletar informações.
Índice
Uma estratégia de segmentação ampliada
Os operadores por trás desta campanha visam diretamente altos funcionários do governo e da defesa, utilizando abordagens altamente personalizadas para envolvê-los. Convites para conferências importantes e ofertas de reuniões influentes são iscas comuns. Uma característica definidora desta atividade é a ampliação do grupo de vítimas para incluir familiares, aumentando a pressão e expandindo a área de ataque em torno dos alvos principais.
Origens e Evolução do APT42
O APT42 entrou em domínio público no final de 2022, pouco depois de pesquisadores o associarem a múltiplos grupos ligados à Guarda Revolucionária Islâmica (IRGC). Entre eles, estão clusters conhecidos como APT35, Charming Kitten, ITG18, Mint Sandstorm e TA453. A marca registrada do grupo é sua capacidade de sustentar operações de engenharia social de longa duração, às vezes por semanas, enquanto se faz passar por contatos confiáveis para ganhar credibilidade antes de distribuir payloads maliciosos ou links maliciosos.
No início de junho de 2025, especialistas descobriram outra grande campanha direcionada a profissionais israelenses de cibersegurança e tecnologia. Nesse caso, os atacantes se fizeram passar por executivos e pesquisadores em comunicações por e-mail e WhatsApp. Embora relacionadas, a atividade de junho e o SpearSpecter têm origem em dois clusters internos diferentes do APT42: o cluster B, focado em roubo de credenciais, e o cluster D, centrado em intrusões por malware.
Táticas de Engano Personalizadas
No cerne do SpearSpecter reside uma metodologia de ataque flexível, moldada em torno do valor do alvo e dos objetivos dos operadores. Algumas vítimas são redirecionadas para portais de reuniões falsificados, projetados para coletar credenciais. Outras enfrentam uma abordagem mais intrusiva que instala um backdoor persistente em PowerShell chamado TAMECAT, uma ferramenta usada repetidamente pelo grupo nos últimos anos.
As cadeias de ataque comuns começam com a falsificação de identidade no WhatsApp, onde o adversário encaminha um link malicioso alegando ser um documento necessário para um compromisso futuro. Clicar nele aciona uma sequência de redirecionamento que resulta na entrega de um arquivo LNK hospedado em WebDAV, disfarçado de PDF, utilizando o manipulador de protocolo search-ms: para enganar a vítima.
Backdoor TAMECAT: Modular, Persistente e Adaptável
Uma vez executado, o arquivo LNK se conecta a um subdomínio do Cloudflare Workers operado pelo atacante para obter um script em lote que ativa o TAMECAT. Essa estrutura baseada em PowerShell usa componentes modulares para oferecer suporte à exfiltração de dados, vigilância e gerenciamento remoto. Seus canais de Comando e Controle (C2) abrangem HTTPS, Discord e Telegram, garantindo resiliência mesmo quando uma dessas vias é bloqueada.
Para operações baseadas no Telegram, o TAMECAT recupera e executa código PowerShell retransmitido por um bot controlado pelos atacantes. O C2 baseado no Discord utiliza um webhook que envia detalhes do sistema e recebe comandos de um canal predefinido. Análises sugerem que os comandos podem ser personalizados para cada host infectado, permitindo atividades coordenadas contra múltiplos alvos por meio de uma infraestrutura compartilhada.
Capacidades que dão suporte à espionagem profunda
O TAMECAT oferece um amplo conjunto de recursos de coleta de informações. Entre eles:
- Coleta e extração de dados
- Coletando arquivos com extensões específicas
- Extraindo dados de caixas de correio do Google Chrome, Microsoft Edge e Outlook
- Realizando captura contínua de tela a cada 15 segundos.
- Exfiltrar informações coletadas por meio de HTTPS ou FTP
- Medidas de furtividade e evasão
- Criptografar telemetria e cargas úteis
- Ofuscando código-fonte do PowerShell
- Utilizando binários que simulam atividades fora da infraestrutura para mesclar ações maliciosas com o comportamento normal do sistema.
- Executando principalmente na memória para minimizar artefatos no disco.
Uma infraestrutura resiliente e camuflada
A infraestrutura que suporta o SpearSpecter combina sistemas controlados pelo atacante com serviços legítimos em nuvem para ocultar atividades maliciosas. Essa abordagem híbrida permite uma invasão inicial perfeita, comunicações C2 robustas e extração de dados secreta. O projeto operacional reflete um agente de ameaça com a intenção de infiltrar-se a longo prazo em redes de alto valor, mantendo a exposição mínima.
Conclusão
A campanha SpearSpecter destaca o aprimoramento contínuo das operações de espionagem do APT42, combinando engenharia social de longo prazo, malware adaptável e infraestrutura robusta para atingir objetivos de inteligência. Sua natureza persistente e altamente direcionada coloca autoridades, pessoal de defesa e indivíduos afiliados em risco constante, reforçando a necessidade de maior vigilância e fortes medidas de segurança em todos os canais de comunicação.
