# UNC1549 Defense Aerospace 2024 > [!high] IRGC Iraniano via UNC1549 - Espionagem em Defesa e Aeroespacial com Falsas Ofertas de Emprego > Desde meados de 2024, o [[imperial-kitten]] (rastreado pela Mandiant como UNC1549 e ligado ao IRGC iraniano) conduz campanha ampliada de espionagem contra setores de defesa, aeroespacial e governo no Oriente Médio e além. A campanha combina phishing de credenciais via falsas ofertas de emprego de empresas americanas de defesa com comprometimento de terceiros e fornecedores para acessar alvos primários. Os backdoors MINIBIKE e MINIBUS são implantados como acesso persistente para coleta de dados sensíveis. ## Visão Geral A Mandiant identificou em 2024 uma aceleração significativa nas operações do UNC1549 - grupo com nexo iraniano atribuído com moderada confiança ao Corpo da Guarda Revolucionária Islâmica (IRGC). O grupo, que sobrepõe com os clusters rastreados públicamente como Tortoiseshell e [[imperial-kitten]], expandiu seu targeting para além de Israel em direção a organizações em EUA, UAE, Qatar, Turquia, Índia e Albânia. A estratégia operacional do UNC1549 combina dois vetores complementares: phishing direto de funcionários com falsas ofertas de emprego de empresas americanas de defesa reconhecidas (Boeing, DJI e outras), e acesso via terceiros - comprometendo fornecedores e parceiros confiáveis para pivoting em direção ao alvo final em setores de defesa e aeroespacial. Esta abordagem "dois trilhos" maximiza a superfície de ataque enquanto torna a atribuição mais difícil. Os objetivos declarados da campanha são tipicamente de espionagem: coleta de documentação de rede e TI, propriedade intelectual de defesa, e emails com comúnicações sensíveis. A Mandiant avalia que as informações coletadas são de interesse estratégico para o Irã - possívelmente incluindo específicações técnicas de sistemas de armas, como o sistema de mísseis IRIS-T fornecido a Israel, e inteligência de geopolítica regional relacionada ao conflito em Gaza e operações iranianas na região. Em setembro de 2025, a Mandiant públicou análise adicional documentando que o UNC1549 expandiu seu targeting para empresas de telecomúnicações, comprometendo 34 dispositivos em 11 firmas via LinkedIn com lures de emprego e o malware MINIBIKE. ## Attack Flow da Campanha ```mermaid graph TB A["Lure de Emprego<br/>Email de spear phishing<br/>Falsa oferta de empresa de defesa americana<br/>Boeing, DJI, Northrop Grumman"] --> B["Credential Phishing<br/>Link para página de login falsa<br/>Coleta credenciais de trabalho<br/>Ou download de malware via PDF"] B --> C["Acesso Inicial<br/>Credenciais comprometidas<br/>Ou MINIBIKE backdoor instalado<br/>Via execução de documento malicioso"] C --> D["Terceiros como Pivot<br/>Comprometimento de fornecedores<br/>Uso de relacionamentos confiáveis<br/>Hop para organização alvo final"] D --> E["Reconhecimento<br/>Coleta de documentação de rede<br/>Mapeamento de propriedade intelectual<br/>Acesso a emails e comúnicações sensíveis"] E --> F["MINIBUS Backdoor<br/>Acesso persistente de longa duração<br/>Exfiltração contínua de dados<br/>Informações de interesse estratégico ao IRGC"] ``` **Técnicas:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1598-phishing-for-information|T1598]] · [[t1199-trusted-relationship|T1199]] · [[t1078-valid-accounts|T1078]] ## Alvos e Motivação Estratégica ```mermaid graph TB subgraph "Alvos Primários" IS["Israel<br/>Defesa, aeroespacial<br/>Sistemas IRIS-T, Iron Dome"] UAE["Emirados Árabes<br/>Governo, tecnologia<br/>Acordos de Abraham"] US["EUA<br/>Empresas de defesa<br/>Contratantes governo"] end subgraph "Alvos Secundários" IN["Índia<br/>Tecnologia, defesa"] TR["Turquia<br/>Governo, empresas"] AL["Albânia<br/>Governo, infraestrutura"] end subgraph "Interesse IRGC" ESP["Espionagem Técnica<br/>Específicações de sistemas de armas<br/>Capacidades e limitações IRIS-T"] GEO["Inteligência Geopolítica<br/>Dinâmica regional<br/>Alinhamentos no conflito Gaza"] KIN["Suporte a Operações<br/>Possível uso em operações cinéticas<br/>Mapeamento de alvos"] end IS --> ESP UAE --> GEO US --> KIN ``` ## Técnica de Blending de Tráfego O UNC1549 demonstrou sofisticação ao camuflar tráfego malicioso como legítimo: - Servidores de ataque contendo referências geográficas a alvos (ex: `uberlingen` para Diehl Defence em Überlingen) - Infraestrutura C2 usando domínios com aparência de serviços legítimos - Lures de emprego usando nomes de empresas reais e posições plausíveis - Phishing pages hospedadas em infraestrutura que imita portais corporativos reais ## Relevância para o Brasil e LATAM > [!low] Empresas Brasileiras de Defesa e Aeroespacial como Risco Indireto > O UNC1549 não tem targeting documentado no Brasil ou LATAM. Contudo, empresas brasileiras de defesa e aeroespacial (Embraer, IMBEL, Avibras) que mantêm parcerias com empresas de defesa israelenses, americanas ou europeias podem ser alvo de comprometimento via cadeia de fornecedores - o segundo vetor da campanha. Dado o interesse do IRGC em sistemas como IRIS-T (comprado pelo Brasil para a FAB), o targeting indireto via fornecedores não pode ser descartado. ## Detecção e Defesa - Treinar funcionários de defesa e aeroespacial sobre spear phishing com lures de emprego - nunca clicar em links de ofertas não solicitadas - Implementar MFA resistente a phishing (FIDO2) para todos os acessos a sistemas de defesa sensíveis - Auditar e segmentar acesso de terceiros - fornecedores devem ter o mínimo de privilégio necessário - Monitorar comúnicações suspeitas de backdoors MINIBIKE/MINIBUS: chamadas HTTP regulares para domínios externos de processos incomuns - Revisar logs de acesso a documentação técnica e emails de projetos sensíveis para padrões anômalos de acesso ou exfiltração ## Referências - [Mandiant — When Cats Fly: UNC1549 Targets Israeli and Middle East Aerospace and Defense (Feb 2024)](https://cloud.google.com/blog/topics/threat-intelligence/suspected-iranian-unc1549-targets-israel-middle-east) - [Mandiant — Analysis of UNC1549 TTPs, Custom Tools, and Malware Targeting Aerospace and Defense (2024)](https://cloud.google.com/blog/topics/threat-intelligence/analysis-of-unc1549-ttps-targeting-aerospace-defense) - [The Hacker News — UNC1549 Hackers Target Middle East Aerospace and Defense (Feb 2024)](https://thehackernews.com/2024/02/iran-linked-unc1549-hackers-target.html) - [The Hacker News — UNC1549 Hacks 34 Devices in 11 Telecom Firms via LinkedIn (Sep 2025)](https://thehackernews.com/2025/09/unc1549-hacks-34-devices-in-11-telecom.html) - [[imperial-kitten]] - Grupo iraniano responsável pela campanha (UNC1549/Tortoiseshell) - [[t1199-trusted-relationship|T1199]] - Comprometimento via fornecedores e terceiros - [[t1598-phishing-for-information|T1598]] - Phishing de credenciais via lures de emprego