campaign-unc1549-aerospace-2024

# UNC1549 Aerospace Campaign 2024 > [!high] Grupo iraniano mira indústria de defesa e aeroespacial com backdoors MINIBIKE e MINIBUS > O **UNC1549** (rastreado pela Mandiant, relacionado ao Smoke Sandstorm/Tortoiseshell do IRGC iraniano) conduziu campanha persistente contra setores de defesa e aeroespacial desde 2023, usando spear-phishing sofisticado e sites de emprego/recrutamento falsos como vetor de entrega dos backdoors [[minibike]] e [[minibus]]. Os alvos incluem contratados de defesa, empresas aeroespaciais e organizações militares no Oriente Médio, EUA e parceiros estratégicos — refletindo o interesse estratégico do IRGC em capacidade militar adversária. ## Visão Geral A campanha UNC1549 usa técnicas de lure altamente contextualizadas para o setor aeroespacial e de defesa: os atacantes criam sites de emprego falsos imitando recrutadores de empresas como Boeing, BAE Systems e Northrop Grumman, com vagas legítimas para engenheiros aeroespaciais, especialistas em propulsão e analistas de inteligência. As vítimas são direcionadas a esses sites via LinkedIn, email ou mensagens diretas, e ao "candidatar-se" são solicitadas a baixar formulários de candidatura em formato que executa um dropper silencioso. Os backdoors [[minibike]] e [[minibus]] são escritos em C++ e .NET respectivamente, com comunicação C2 via serviços legítimos como Microsoft OneDrive e GitHub — tornando o tráfego difícil de distinguir em ambientes corporativos que usam esses serviços. O [[minibus]] tem capacidade de tunneling de DNS e suporte a múltiplos canais C2 para resiliência. Ambos são projetados para coleta de informações sobre capacidades militares, projetos de armas em desenvolvimento, e acesso a sistemas de design de aeronaves e tecnologia de propulsão. Para empresas brasileiras do setor aeroespacial — como Embraer, Avibras e fornecedores do programa KC-390 —, o UNC1549 representa uma ameaça de inteligência técnica-industrial relevante dado o interesse iraniano em tecnologia aeroespacial dual-use e em compreender as capacidades militares de parceiros estratégicos dos EUA. A parceria entre Embraer e empresas de defesa americanas torna a empresa brasileira potencialmente de interesse para operações de espionagem industrial iraniana. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links para sites de recrutamento falsos | | Web Service Abuse | [[t1102-web-service\|T1102]] | OneDrive/GitHub como canal C2 | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Droppers ofuscados em formulários de candidatura | | Application Layer Protocol | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTPS para mascarar tráfego | ## Referências - [1](https://www.mandiant.com/resources/blog/unc1549-iran-middle-east-aerospace) Mandiant - UNC1549: Iranian Threat Actor Targeting Aerospace (2024) - [2](https://unit42.paloaltonetworks.com/tortoiseshell-unc1549-aerospace-defense/) Unit 42 - Tortoiseshell/UNC1549 Aerospace Campaign (2024) - [3](https://www.microsoft.com/security/blog/2023/smoke-sandstorm-aerospace/) Microsoft - Smoke Sandstorm Aerospace Targeting (2023)