UNC1549 Hackers Invadem 34 Dispositivos em 11 Empresas de Telecom via LinkedIn e Malware MINIBIKE

O grupo de ciberespionagem iraniano UNC1549 (também conhecido como Subtle Snail) realizou uma campanha contra empresas de telecomunicações europeias, comprometendo 34 dispositivos em 11 organizações através de iscas de recrutamento no LinkedIn.

A campanha, atribuída ao grupo afiliado à Guarda Revolucionária Iraniana (IRGC), teve como alvo empresas no Canadá, França, Emirados Árabes, Reino Unido e Estados Unidos.

Modus Operandi

Os atacantes posaram como representantes de RH de empresas legítimas no LinkedIn, enviando ofertas de emprego falsas. Após estabelecer contato, os alvos eram redirecionados para domínios fraudulentos que imitavam empresas como Telespazio ou Safran Group, onde um arquivo ZIP malicioso era baixado.

O arquivo continha um executável que utilizava DLL side-loading para carregar o backdoor MINIBIKE, que se comunica com infraestrutura de comando e controle (C2) através de serviços Azure para evitar detecção.

Capacidades do MINIBIKE

O malware possui 12 comandos distintos para:

• Coletar informações do sistema
• Registrar teclas pressionadas e conteúdo da área de transferência
• Roubar credenciais do Microsoft Outlook
• Coletar dados de navegadores (Chrome, Brave, Edge)
• Capturar screenshots
• Enumerar arquivos e processos

O backdoor também utiliza técnicas anti-debugging e anti-sandbox, além de modificar o Registro do Windows para persistência após inicialização do sistema.

Contexto Adicional

Paralelamente, o grupo MuddyWater (também iraniano) tem diversificado seu toolkit com novos malwares como BugSleep, LiteInject, StealthCache e Fooder, reduzindo sua dependência de ferramentas RMM.

Ambos os grupos demonstram uma sofisticação crescente em campanhas de espionagem cibernética patrocinadas pelo estado iraniano, com foco em setores estratégicos como telecomunicações, defesa e infraestrutura crítica.