Dindoor Backdoor

Natuklasan ng pananaliksik sa threat intelligence ang ebidensya ng isang operasyong cyber na kaayon ng estado ng Iran na matagumpay na nakapasok sa mga network ng ilang organisasyon sa buong Hilagang Amerika. Kabilang sa mga apektadong entidad ang mga bangko, paliparan, mga non-profit na organisasyon, at ang sangay ng isang kumpanya ng software sa Israel na nagsisilbi sa mga sektor ng depensa at aerospace.

Ang kampanya ay iniuugnay sa MuddyWater, na kilala rin bilang Seedworm, isang grupong nagbabanta na nauugnay sa Ministry of Intelligence and Security (MOIS) ng Iran. Tinataya ng mga imbestigador na nagsimula ang operasyon noong unang bahagi ng Pebrero 2026. Ang aktibidad ng network na nauugnay sa kampanya ay lumitaw ilang sandali matapos ang mga pag-atakeng militar na isinagawa ng Estados Unidos at Israel laban sa Iran, na nagmumungkahi ng isang potensyal na geopolitical trigger sa likod ng aktibidad sa cyber.

Tila binigyan ng partikular na atensyon ang dibisyon ng Israel ng target na software provider. Ang kumpanya ay nagsusuplay ng mga solusyon sa maraming industriya, kabilang ang depensa at aerospace, kaya isa itong mahalagang target para sa pagkolekta ng impormasyon at mga potensyal na pagkagambala.

Dindoor: Isang Bagong Nakilalang Backdoor Leveraging Deno

Natukoy ng mga security analyst na sumusuri sa mga panghihimasok ang pag-deploy ng isang dating hindi dokumentadong backdoor na tinatawag na Dindoor. Ginagamit ng malware ang Deno JavaScript runtime bilang bahagi ng execution environment nito, isang medyo hindi pangkaraniwang pamamaraan na maaaring makatulong sa malware na maiwasan ang pagtuklas sa mga tradisyonal na sistema ng pagsubaybay sa seguridad.

Ang mga pag-atakeng kinasasangkutan ng software vendor, isang institusyong pangbangko sa US, at isang non-profit na organisasyon sa Canada ang tila nagsilbing mga pasukan para sa pag-install ng backdoor na ito.

Natukoy din ang ebidensya ng tangkang pag-exfiltration ng data. Naobserbahan ng mga imbestigador ang paggamit ng Rclone utility upang maglipat ng impormasyon mula sa kapaligiran ng nakompromisong kumpanya ng software patungo sa isang cloud storage bucket na naka-host sa Wasabi. Sa panahon ng pagsusuri, nananatiling hindi malinaw kung ang pagtatangkang pag-exfiltration ng data ay naging matagumpay sa huli.

Lumilitaw ang Fakeset Backdoor sa Karagdagang Nakompromisong Network

Isang hiwalay na bahagi ng malware na kilala bilang Fakeset, na nakasulat sa Python, ang natukoy sa loob ng mga network ng isang paliparan sa US at isa pang non-profit na organisasyon. Ang backdoor na ito ay nakuha mula sa imprastraktura na nauugnay sa Backblaze, isang cloud storage at backup provider na nakabase sa US.

Ang malisyosong payload ay digital na nilagdaan gamit ang isang sertipiko na dating nakaugnay sa dalawa pang pamilya ng malware, ang Stagecomp at Darkcomp, na parehong may kaugnayan sa mga operasyon ng MuddyWater.

Natukoy ng mga mananaliksik ng banta ang mga sample ng malware na may mga sumusunod na lagda na nauugnay sa MuddyWater ecosystem:

• Trojan:Python/MuddyWater.DB!MTB

Bagama't hindi natuklasan ang Stagecomp at Darkcomp mismo sa mga nakompromisong network na sinuri sa imbestigasyong ito, ang muling paggamit ng parehong digital certificate ay mariing nagmumungkahi ng pagkakasangkot ng parehong aktor ng banta, na nagpapatibay sa pagpapalagay na ang Seedworm ang may kinalaman dito.

Pagpapalawak ng mga Kakayahan sa Cyber ng Iran at mga Taktika sa Social Engineering

Ang mga Iranian cyber threat actors ay lubos na nagpabuti ng kanilang mga kakayahan sa operasyon nitong mga nakaraang taon. Ang kanilang pagbuo at paggamit ng malware ay naging mas sopistikado, na nagbibigay-daan sa mas palihim na pagtitiyaga at mas epektibong paggalaw sa loob ng mga network ng biktima.

Kapansin-pansin din ang pagpapalawak ng kanilang mga estratehiya sa pag-atake na nakatuon sa tao. Ipinakita ng mga operator ng Iran ang lalong pagsulong ng mga pamamaraan ng social engineering, kabilang ang mga kampanyang spear-phishing na lubos na naka-target at mga pangmatagalang operasyon na 'honeytrap' na idinisenyo upang bumuo ng tiwala sa mga indibidwal na interesado. Ang mga taktikang ito ay madalas na ginagamit upang makakuha ng access sa account o kumuha ng sensitibong impormasyon.

Pagsubaybay sa Pamamagitan ng mga Mahinang Kamera

Isiniwalat ng mga magkakatulad na imbestigasyon na ang iba pang mga grupong may kaugnayan sa Iran ay aktibong nag-iimbestiga sa mga surveillance device na konektado sa internet. Isa sa mga aktor na ito, si Agrius, na kilala rin sa mga alyas na Agonizing Serpens, Marshtreader, at Pink Sandstorm, ay naobserbahang nag-i-scan para sa mga mahihinang imprastraktura ng video surveillance.

Idinokumento ng mga mananaliksik ang mga pagtatangkang pagsasamantala na tumatarget sa mga camera at video intercom system ng Hikvision sa pamamagitan ng mga kilalang kahinaan. Tumindi ang mga aktibidad na ito sa gitna ng patuloy na tunggalian sa Gitnang Silangan, lalo na sa Israel at ilang mga estado sa Gulpo.

Ang kampanya ay nakatuon sa pagsasamantala sa mga kahinaan na nakakaapekto sa mga kagamitan sa pagmamatyag mula sa Dahua at Hikvision, kabilang ang:

• CVE-2017-7921
• CVE-2023-6895
• CVE-2021-36260
• CVE-2025-34067
• CVE-2021-33044

Naniniwala ang mga security analyst na ang mga ganitong kompromiso ay maaaring sumuporta sa pangangalap ng impormasyon ng militar, kabilang ang operational surveillance at battle damage assessment (BDA) na may kaugnayan sa mga operasyon ng missile. Sa ilang mga kaso, maaaring mangyari ang mga panghihimasok ng camera bago ang paglulunsad ng missile upang makatulong sa pag-target o pagsubaybay sa mga resulta.

Aktibidad sa Cyber bilang Paunang Salik sa mga Operasyong Kinetiko

Ang koordinadong pag-target sa imprastraktura ng pagmamatyag ay naaayon sa matagal nang mga pagtatasa na isinasama ng doktrinang cyber ng Iran ang digital reconnaissance sa mas malawak na pagpaplano ng militar. Ang mga nakompromisong kamera ay maaaring magbigay ng real-time na visual intelligence at kamalayan sa sitwasyon.

Dahil dito, ang pagsubaybay sa aktibidad ng pag-scan at mga pagtatangka ng pagsasamantala laban sa imprastraktura ng kamera na nakatali sa mga kilalang cyber asset ng Iran ay maaaring magsilbing maagang babala para sa mga potensyal na kasunod na kinetic operations.

Tumataas na Panganib sa Paghihiganti sa Cyber

Ang tumitinding tunggalian na kinasasangkutan ng Estados Unidos, Israel, at Iran ay nagpapataas ng panganib ng paghihiganti sa cyber. Bilang tugon sa lumalaking sitwasyon ng banta, ang Canadian Centre for Cyber Security (CCCS) ay naglabas ng babala na malamang na gagamitin ng Iran ang mga kakayahan nito sa cyber laban sa mga kritikal na imprastraktura at magsagawa ng mga operasyon sa impluwensya o impormasyon upang isulong ang mga estratehikong interes.

Itinatampok ng mga pag-unlad na ito ang lumalawak na papel ng cyberspace bilang isang parallel na larangan ng digmaan sa panahon ng mga geopolitical conflicts, kung saan ang espiya, panggugulo, at pangangalap ng impormasyon ay lalong sumasabay sa mga tradisyonal na aksyong militar.