Em Outubro de 2025, uma violação significativa expôs documentos operacionais internos do APT35, também conhecido como Charming Kitten, revelando que o grupo patrocinado pelo Estado iraniano opera como uma unidade de ciberespionagem burocratizada e orientada por quotas, com estruturas de comando hierárquicas, métricas de desempenho e equipas de ataque especializadas.
Os materiais vazados fornecem uma janela sem precedentes sobre como esta afiliada da Organização de Inteligência do Corpo da Guarda Revolucionária Islâmica (IRGC IO) administra um aparelho formalizado de coleta de inteligência focado em alvos diplomáticos, governamentais e corporativos em todo o Oriente Médio e na Ásia.
Os documentos vazados revelar O APT35 funciona como uma organização de inteligência militarizada, e não como um coletivo de hackers.
Abaixo dele, Manouchehr Vosoughi Niri atua como coordenador de nível médio, gerenciando o acompanhamento de desempenho e a supervisão operacional.
O grupo implanta equipes especializadas com vias técnicas distintas: uma unidade de desenvolvimento de exploits que transforma vulnerabilidades Ivanti e Exchange/ProxyShell em armas; equipes de credenciais e acesso conduzindo dumps LSASS e ataques de repetição de token; uma unidade de phishing executando campanhas HERV (Engenharia Humana e Validação Remota); e equipes de monitoramento em tempo real encarregadas da vigilância sustentada das caixas de correio.
Todos os itens são referenciados em um repositório de evidências do DTI, produzindo uma cadeia de evidências de ponta a ponta a partir da pesquisa e exploração de vulnerabilidades.
Operadores, incluindo Engineer Reza, Engineer Kian e outros, são funcionários assalariados formalmente intitulados, cujo trabalho é monitorado por meio de relatórios mensais padronizados de desempenho que medem tarefas concluídas, rendimentos de credenciais, taxas de sucesso de phishing e tempos de permanência de caixas de correio.
De forma crítica, as evidências físicas confirmam as operações centralizadas. Os registros de entrada e saída de crachás documentam que o pessoal trabalha em uma instalação local segura, com carimbos de data e hora alinhados precisamente com as janelas de atividades operacionais.
Cada campanha corresponde a um analista líder nomeado, que supervisiona subequipes operacionais encarregadas de exploração, coleta de credenciais, operações de phishing e monitoramento de caixas de correio (RTM) em tempo real.
Esta centralização reforça o controle de supervisão e garante a execução sincronizada das campanhas entre as equipes.
Métodos de ataque e estratégia de campanha
O fluxo de trabalho operacional do APT35 segue um ciclo sistemático e repetível, projetado para coleta de informações de alto volume.
O grupo realiza reconhecimento de modo duplo: uma ampla varredura na Internet identifica infraestruturas vulneráveis, enquanto o refinamento manual produz listas de alvos priorizados com foco em entidades diplomáticas, governamentais e de telecomunicações.
O principal vetor de exploração centra-se em Microsoft Exchange infraestrutura. O grupo utiliza ProxyShell, Autodiscover e Exchange Web Services (EWS) para obter acesso inicial e, em seguida, implanta webshells ASPX para persistência.
Uma vez lá dentro, os operadores extraem Listas de Endereços Globais (GALs) e coletam credenciais em texto simples, que se tornam inteligência e infraestrutura operacional.
A persistência depende de mecanismos baseados em credenciais, em vez de webshells frágeis. O grupo coleta credenciais por meio de dumps LSASS (processados com utilitários estilo Mimikatz) e ataques de repetição de token, convertendo o acesso inicial em pontos de apoio sustentáveis e resistentes à correção padrão.
No ápice está Abbas Rahrovi, identificado como autoridade sênior de comando cibernético do IRGC-IO, supervisionando uma rede de empresas de fachada que fornecem cobertura administrativa para operações em andamento.
As ferramentas pós-exploração incluem webshells .NET personalizados, analisadores Python e implantes estilo beacon modificados implantados sob nomes de serviços de sistema ofuscados em diretórios ProgramData, permitindo controle prático do adversário e movimento lateral usando WMIC e protocolos de compartilhamento administrativo.
A análise da documentação operacional revela uma orientação estratégica e regional, em vez de um compromisso oportunista.
A presença geográfica primária abrange a Turquia, a República Turca de Chipre do Norte, o Líbano, o Kuwait, a Arábia Saudita, a Jordânia, a Coreia do Sul e os alvos nacionais iranianos.
Os pontos de recolha de elevado valor incluem ministérios dos negócios estrangeiros, operadores de telecomunicações, fornecedores de energia, autoridades aduaneiras e entidades prestadoras de serviços geridos que fornecem tanto inteligência diplomática como vantagem estratégica económica.
Os alvos documentados incluem a Türk Telekom (212.175.168.58), a Nour Communication Co. Ltd na Arábia Saudita, a Fast Communication Company Ltd no Kuwait e os operadores de infraestrutura sul-coreanos.
Cada região enfrenta tarefas personalizadas alinhadas com as prioridades da inteligência iraniana: os alvos turcos proporcionam visibilidade política regional e da NATO; As operações sauditas visam a coordenação e a política energética do CCG; O compromisso coreano apoia a recolha de tecnologia e inteligência de defesa.
Máquinas de coleta de inteligência burocrática
Os materiais vazados documentam um kit de ferramentas de intrusão desenvolvido e orientado pelo operador, otimizado para captura de credenciais em grande escala e acesso sustentado.
Os contatos colhidos semeiam o HERV subsequente campanhas de phishingcriando um ciclo de coleta autossustentável onde o reconhecimento, a exploração e a engenharia social se reforçam continuamente.
O grupo mantém uma infraestrutura C2 reforçada usando canais criptografados, com injeção de comando incorporada em cabeçalhos HTTP (principalmente campos Accept-Language) e impressões digitais de token estático fornecendo handshakes operacionais.
Os canais de exfiltração empregam testes criptografados para provedores de nuvem (Mega, Dropbox, ProtonDrive), retransmissões SMTP através de sistemas Exchange comprometidos e Tunelamento DNS para comunicações secretas.
Talvez o mais revelador seja a cultura operacional formalizada e orientada por quotas, incorporada nas avaliações mensais de desempenho e nas anotações dos supervisores.
Os operadores arquivam rotineiramente relatórios de KPI enumerando horas trabalhadas, tarefas concluídas, taxas de sucesso de phishing e métricas de exploração.
Essa abordagem obcecada por métricas transforma as operações cibernéticas em uma linha de produção mensurável, priorizando volume e velocidade, uma dinâmica que cria assinaturas comportamentais previsíveis que os defensores podem explorar.
Os documentos vazados também revelam a participação de operadores em eventos ideológicos, incluindo uma conferência de 2023 intitulada “Israel: O Espelho Frágil”, onde quinze indivíduos nomeados das unidades técnicas foram registados como participantes.
A exposição deste aparelho de inteligência cria imperativos operacionais imediatos para os defensores.
As organizações devem priorizar o fortalecimento da infraestrutura do Exchange com registro aprimorado, impor autenticação multifatorial resistente a phishing, como FIDO2, e implantar regras de detecção direcionadas a padrões de varredura, comportamento de retransmissão de token e acesso anômalo a caixas de correio.
Os esforços de busca devem se concentrar em artefatos característicos: webshells ASPX sob caminhos previsíveis, máscaras de serviço dentro de diretórios ProgramData e cabeçalhos HTTP Accept-Language suspeitos que incorporam comandos do operador.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.