Organização Hacker Iraniana Revela "Arma Secreta": Como o Framework Cavern C2 Contorna Todas as Detecções de Segurança

Organização Hacker Iraniana Revela "Arma Secreta": Como o Framework Cavern C2 Contorna Todas as Detecções de Segurança

Uma nova e sofisticada estrutura de Comando e Controle (C2), conhecida como Cavern, está sendo utilizada por um grupo hacker iraniano ligado ao Ministério da Inteligência e Segurança (MOIS) para atacar alvos em Israel. A principal inovação reside na sua arquitetura anti-análise, que explora diferentes formatos de compilação para dificultar a investigação por parte dos pesquisadores de segurança.

MundiX News·10 de julho de 2026·8 min de leitura·👁 1 views

Um grupo hacker afiliado ao Ministério da Inteligência e Segurança (MOIS) do Irã está empregando uma nova e modular estrutura de Comando e Controle (C2) chamada Cavern (também conhecida como Cav3rn) para realizar ataques contínuos contra provedores de serviços de TI e agências governamentais em Israel. A empresa de cibersegurança israelense Check Point Research divulgou um relatório detalhado sobre essa ameaça, rastreada como "Cavern Manticore", que tem estado ativa desde o início de 2026. Diferentemente de outros grupos APT iranianos que frequentemente utilizam ferramentas de código aberto, o Cavern Manticore demonstra uma abordagem técnica distinta.

A estrutura Cavern é construída inteiramente em .NET, mas foi intencionalmente compilada em três formatos binários diferentes. Essa estratégia força os pesquisadores de segurança a alternar entre diferentes conjuntos de ferramentas para análise, o que constitui o cerne do seu design. Notavelmente, a taxa de detecção dessa estrutura no VirusTotal é "quase zero ou extremamente baixa", indicando que a maioria dos produtos de segurança convencionais tem dificuldade em identificá-la. A inovação mais notável do Cavern não está apenas no que ele faz, mas em como ele oculta suas ações. Em vez de empregar métodos tradicionais de anti-análise como empacotamento, ofuscação de fluxo de controle ou criptografia de strings, o Cavern utiliza a própria formatação de compilação como uma arma. Cada módulo da estrutura existe em um formato de compilação distinto, exigindo ferramentas e fluxos de trabalho de engenharia reversa completamente diferentes para cada um.

Os três formatos de compilação são: 1) .NET Framework (IL puro), contendo módulos de pós-exploração como mhm.dll (operações de arquivo, descriptografia DPAPI), db.dll (manipulação de banco de dados SQL) e ode.dll (reconhecimento do Active Directory). Embora esses módulos possam ser visualizados com ferramentas de descompilação .NET padrão, os atacantes não se preocupam com a visibilidade, pois cada módulo opera em seu próprio AppDomain e é descarregado após a execução, sem deixar componentes analisáveis no disco. 2) Modo Híbrido C++/CLI (IL + código nativo), que constitui o agente principal, uxtheme.dll, disfarçado de biblioteca de temas do Windows. Dos 83 funções exportadas, 82 são vazias (armadilhas anti-sandbox), com apenas uma realmente funcional. 3) .NET 8 Native AOT (nativo puro), incluindo o módulo de comunicação n-HTCommp.dll, o módulo de reconhecimento de rede n-ten.dll e o módulo de proxy SOCKS5 n-sws.dll. O runtime .NET completo é compilado estaticamente, e as strings só são "descongeladas" em tempo de execução. A Check Point teve que desenvolver um plugin específico para o IDA Pro para recuperar metadados desses binários. O efeito prático desse design é que a experiência adquirida na análise de um módulo não pode ser replicada para outro, exigindo que as equipes de segurança mantenham três conjuntos de capacidades de análise, aumentando exponencialmente os custos. Como a Check Point observou em seu relatório, "o próprio formato de compilação da estrutura se torna uma camada anti-análise".

A cadeia de ataque do Cavern Manticore não começa com uma vulnerabilidade de dia zero (zero-day) de alta tecnologia, mas sim com um alvo mais acessível: o software de Monitoramento e Gerenciamento Remoto (RMM) já implantado pelas empresas. Os atacantes obtêm acesso ao sistema RMM da organização-alvo e, em seguida, abusam da funcionalidade de atualização legítima do software SysAid para distribuir código malicioso disfarçado de atualização normal. Uma cadeia de carregamento lateral de DLL do WinDirStat é implantada no diretório C:\ProgramData\WinDir, onde o executável legítimo WinDirStat.exe carrega o uxtheme.dll modificado (o Agente Cavern). O agente então se conecta ao servidor C2 hospitalinstallation[.]com e busca módulos de ataque subsequentes sob demanda via HTTPS ou WebSocket. A comunicação C2 é criptografada com uma chave XOR de 0x48, envolta em codificação Base64, com o User-Agent fixado como o navegador Edge e um cabeçalho personalizado X-User-token carregando o ID do agente. Os campos do protocolo de comunicação são separados por ";;" e os parâmetros por ",_", uma sintaxe "dialetal" que dificulta ainda mais a detecção de tráfego. O agente possui capacidade de "atualização a quente", permitindo renomear seu próprio arquivo DLL, escrever uma nova versão e carregá-la sem a necessidade de reinicialização. Após a inicialização, ele executa limpeza, excluindo todos os arquivos, exceto o módulo de comunicação, a configuração e os logs. Mensagens de erro com "personalidade" foram encontradas no código do atacante, como "What is this sh*t?! where is get_version?!?!", levando os pesquisadores da Check Point a concluir que se trata do produto de um desenvolvedor específico, e não de um gerador de código automatizado.

O sinal mais profundo deste incidente não reside em detalhes técnicos intrincados, mas na forma como os atacantes exploram "relações de confiança". A primeira camada de abuso de confiança envolve o uso de provedores de serviços de TI como porta de entrada para ataques. O Cavern Manticore não ataca diretamente o alvo final, mas primeiro compromete o provedor de TI utilizado pelo alvo, e então "legitimamente" salta para o alvo real através da ferramenta RMM do provedor. Esses caminhos de ataque de "segundo salto" ou "terceiro salto" tornam os modelos de defesa baseados em perímetro quase ineficazes, pois as equipes de segurança têm dificuldade em distinguir entre uma "atualização legítima enviada pelo provedor de TI" e uma "atualização disfarçada pelo atacante". A segunda camada de abuso de confiança é o uso de software legítimo como vetor de envenenamento. O SysAid em si não foi invadido; os atacantes obtiveram acesso ao sistema e então usaram sua funcionalidade de atualização para distribuir código malicioso. Isso significa que as equipes de segurança não devem focar apenas nas vulnerabilidades do software em si, mas também considerar seu papel potencial como "cúmplice" após ser comprometido. A terceira e mais macro camada é a coordenação de múltiplos grupos APT iranianos. Simultaneamente ao Cavern Manticore, o grupo MuddyWater, também sob a égide do MOIS, está realizando reconhecimento e penetração em larga escala em setores de aviação, energia e governamentais no Egito, Israel e Emirados Árabes Unidos, com exfiltração confirmada de dados sensíveis em vários ambientes controlados. A atividade síncrona desses dois grupos aponta para uma escalada nas ações de ataque do Irã no ciberespaço, espelhando as operações militares em andamento de Israel e dos Estados Unidos contra o Irã. Para organizações fora do Oriente Médio, as lições deste incidente são igualmente diretas: seus provedores de serviços de TI, MSPs (Provedores de Serviços Gerenciados) e ferramentas RMM podem se tornar trampolins para atacantes de nível estatal. A segurança da cadeia de suprimentos não é um conceito abstrato, mas um empreendimento concreto que precisa ser implementado em cada camada de relação de confiança.

Em resposta às características de ataque do Cavern Manticore, são recomendadas as seguintes medidas de proteção em camadas: 1. Gerenciamento de Provedores de TI/MSPs: Implementar o princípio do menor privilégio para permissões de gerenciamento remoto de provedores de TI. O mecanismo de envio de atualizações de ferramentas RMM requer validação adicional, com a introdução de um fluxo de aprovação de alterações e confirmação mútua para atualizações críticas. Auditar regularmente os registros de acesso de provedores de serviços aos sistemas internos, com foco em comportamentos de envio de atualizações fora do horário normal. 2. Detecção de Endpoints: Monitorar os Indicadores de Comprometimento (IOCs) a seguir: Domínios C2: hospitalinstallation[.]com (e domínios históricos adserviceupdate[.]com, hygienehistory[.]com). Caminhos de arquivo: C:\ProgramData\WinDir\WinDirStat.exe. Mutexes: MYMUTEX123HELLP02, MYMUTEX123HELLP04. Características de rede: UA fixo do Edge (Chrome/146.0.0.0 Edg/146.0.0.0), cabeçalho personalizado X-User-token, chave XOR 0x48. 3. Monitoramento de Tráfego de Rede: Implementar auditoria mais rigorosa de conexões HTTPS e WebSocket de saída, especialmente conexões criptografadas para domínios incomuns. Embora a comunicação C2 do Cavern utilize criptografia, seu User-Agent fixo e campos de cabeçalho personalizados podem servir como pontos de ancoragem para detecção. 4. Proteção contra Carregamento Lateral de DLL: Habilitar a política de Integridade de Código do Windows para restringir o carregamento de DLLs não assinadas pela Microsoft. Manter alta vigilância sobre arquivos executáveis em diretórios não privilegiados como ProgramData. Em conclusão, o Cavern Manticore representa mais do que apenas um "malware mais poderoso". Ele sinaliza uma tendência em que atacantes de nível estatal estão mudando de uma "confrontação de ferramentas" para uma "confrontação de custos de análise". Quando o objetivo de design de uma estrutura não é "torná-la indetectável", mas sim "torná-la impossível de analisar mesmo quando detectada", os modelos tradicionais de operações de segurança – que dependem de poucos analistas para engenharia reversa manual e extração de regras – enfrentam um desafio fundamental. Este incidente também serve como um lembrete de que, diante da segurança da cadeia de suprimentos, não existe "confiável" absoluto. Seus provedores de TI confiáveis, suas ferramentas de gerenciamento remoto dependentes e seus mecanismos de atualização automática habituais podem ser redefinidos pelos atacantes. Segurança não é um produto, mas um processo de validação contínua. Essa frase tem sido dita há anos, mas diante do Cavern Manticore, ela nunca foi tão concreta.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.