# UNC1549 > [!high] Grupo iraniano de espionagem focado em aeroespacial, defesa e telecomúnicações > UNC1549 é um ator de ameaça com nexo no Irã, atribuído com confiança moderada à Guarda Revolucionária Islâmica (IRGC) e com sobreposição ao grupo Tortoiseshell. Especializado em campanhas de espionagem altamente direcionadas contra o setor de defesa, aeroespacial e telecomúnicações no Oriente Médio, o grupo utiliza backdoors customizadas hospedadas no Azure e lures de recrutamento falsas para comprometer alvos de alto valor. > [!latam] Relevância para o Brasil e América Latina > O UNC1549 foca no Oriente Médio e Europa, sem histórico documentado na América Latina. Contudo, a Embraer e seu ecossistema de fornecedores aeroespaciais representam perfil de alvo potencial para grupos de espionagem com interesse no setor de defesa e aviação. A campanha de 2025 contra telecoms europeias sugere possível expansão geográfica futura. Empresas brasileiras do setor de defesa com parcerias internacionais devem incluir o UNC1549 em sua modelagem de ameaças. ## Visão Geral O **UNC1549** é um grupo de espionagem cibernética com **nexo iraniano**, rastreado pela Mandiant/Google Threat Intelligence e atribuído com confiança moderada à **Guarda Revolucionária Islâmica (IRGC)**. O grupo apresenta sobreposição técnica e operacional com grupos rastreados públicamente como **Tortoiseshell**, **Smoke Sandstorm/BOHRIUM** e **Crimson Sandstorm (Imperial Kitten, TA456)**. Também é rastreado pela Proofpoint como **TA455**. Ativo desde pelo menos **junho de 2022**, o UNC1549 conduz campanhas de espionagem altamente direcionadas com foco primário no **setor de defesa, aeroespacial e aviação** no Oriente Médio — especialmente Israel, Emirados Árabes Unidos e Arábia Saudita. Em 2025, o grupo expandiu significativamente suas operações para o setor de **telecomúnicações** na Europa, comprometendo 34 dispositivos em 11 empresas de telecom via lures de emprego no LinkedIn. A métodologia do UNC1549 é sofisticada e multi-etapa: o grupo cria **sites de recrutamento falsos** que imitam empresas legítimas de defesa e tecnologia (como Teledyne FLIR e fabricantes de drones DJI) para entregar backdoors customizadas. Alternativamente, utiliza comprometimento de terceiros e parceiros VDI (Citrix, VMware, Azure) para pivoteamento dentro de redes alvo. O grupo investe fortemente em **evasão de detecção**: assina digitalmente seus backdoors com certificados legítimos roubados, hospeda infraestrutura no **Microsoft Azure** para se misturar ao tráfego legítimo, apaga artefatos após o comprometimento e deixa "silent beacons" pós-eradicação para detectar se foi removido. Para o Brasil e a América Latina, o UNC1549 não possui histórico documentado de operações diretas. O foco geográfico é estritamente o Oriente Médio e, secundariamente, Europa. Entretanto, empresas brasileiras do setor de defesa e aeroespacial com relações comerciais com parceiros israelenses ou americanos devem considerar o risco de comprometimento via cadeia de suprimentos. ## TTPs Principais | Tática | Técnica | ID MITRE | Descrição | |--------|---------|----------|-----------| | Acesso Inicial | Spearphishing Link | T1566.002 | Lures de recrutamento falso via LinkedIn e e-mail | | Acesso Inicial | Valid Accounts | T1078 | Credenciais comprometidas de terceiros/VDI | | Persistência | DLL Hijacking | T1574.001 | Carregamento lateral de DLL para payloads | | Persistência | Code Signing | T1553.002 | Backdoors assinados com certificados legítimos | | C2 | Protocol Tunneling | T1572 | Reverse SSH tunnels; C2 hospedado no Azure | | Escalada | DCSync | T1003.006 | DCSYNCER.SLICK para extração de credenciais AD | | Movimento Lateral | Pivot via Suppliers | T1090.003 | Comprometimento de parceiros para acesso indireto | | Evasão | File Deletion | T1070.004 | Remoção de artefatos, histórico RDP e ferramentas | ## Attack Flow ```mermaid graph TB A["🎭 Lure de Recrutamento<br/>Site falso FLIR / DJI<br/>LinkedIn job posting"] --> B["📎 Acesso Inicial<br/>Entrega MINIBIKE / MINIBUS<br/>Azure-hosted C2"] B --> C["🔧 Persistência<br/>DLL hijacking<br/>Certificado assinado legítimo"] C --> D["🌐 Tunelamento C2<br/>Reverse SSH via Azure<br/>Mimics tráfego legítimo"] D --> E["🔑 Escalada de Privilégios<br/>DCSync via DCSYNCER.SLICK<br/>Credenciais Active Directory"] E --> F["📤 Exfiltração<br/>IP, propriedade intelectual<br/>de defesa e aeroespacial"] F --> G["🧹 Anti-Forense<br/>Remoção de artefatos<br/>Silent beacons pós-eradicação"] classDef lure fill:#9b59b6,color:#ecf0f1 classDef access fill:#e74c3c,color:#ecf0f1 classDef persist fill:#2c3e50,color:#ecf0f1 classDef c2 fill:#3498db,color:#ecf0f1 classDef priv fill:#e67e22,color:#ecf0f1 classDef exfil fill:#e74c3c,color:#ecf0f1 classDef clean fill:#2ecc71,color:#2c3e50 class A lure class B access class C persist class D c2 class E priv class F exfil class G clean ``` ## Campanhas Notáveis ### Operações Aeroespacial e Defesa - Oriente Médio (2022-2024) A campanha mais extensa e documentada do UNC1549 envolve targeting sistemático de empresas de defesa, aeroespacial e aviação em Israel, UAE e Arábia Saudita. O grupo criou múltiplos sites de recrutamento falsos imitando empresas como Teledyne FLIR (fabricante de câmeras de visão noturna usadas por militares) e fabricantes de drones. Os sites entregavam backdoors MINIBIKE e MINIBUS hospedadas na infraestrutura Azure da Microsoft. ### Compromisso de Telecom Europeu via LinkedIn (2025) Em setembro de 2025, o grupo comprometeu **34 dispositivos em 11 empresas de telecomúnicações** na Europa utilizando lures de emprego no LinkedIn. As vítimas eram direcionadas para sites de recrutamento falsos que entregavam o backdoor MINIBIKE. A campanha indicou expansão do escopo de targeting além do Oriente Médio. ### Guerra Israel-Hamas - Exploração de Contexto (2023-2024) Durante o conflito Israel-Hamas iniciado em outubro de 2023, o UNC1549 intensificou campanhas utilizando **lures temáticas do conflito** — documentos sobre o ataque do Hamas, posições de defesa israelenses e relatórios de inteligência falsos — para comprometer organizações do setor de defesa e governo no Oriente Médio. ### Comprometimento via VDI e Terceiros (2023-2025) O grupo demonstrou capacidade de pivotar via soluções VDI comprometidas (Citrix, VMware, Azure Virtual Desktop) e por meio de comprometimento de fornecedores e parceiros das organizações alvo — uma técnica de cadeia de suprimentos que amplia significativamente o alcance das campanhas. ## Malware Utilizado | Malware | Tipo | Notas | |---------|------|-------| | [[minibike-backdoor\|MINIBIKE]] | Backdoor inicial | Azure-hosted; hash único por deployment | | [[minibus-backdoor\|MINIBUS]] | Backdoor segunda fase | Capacidades expandidas; análise Brandefense | | [[lightrail\|LIGHTRAIL]] | Tunneler | Tunelamento de tráfego de rede | | [[twostroke\|TWOSTROKE]] | Backdoor | Assinado com certificado legítimo | | [[deeproot\|DEEPROOT]] | Implant persistente | — | | [[ghostline\|GHOSTLINE]] | Backdoor | Signed; evasão via legítimo cert | | [[crashpad\|CRASHPAD]] | — | Componente do arsenal pós-acesso | ## Detecção e Defesa **Indicadores comportamentais a monitorar:** - Conexões de saída para infraestrutura Azure não catalogada ou incomum por servidores internos - Carregamento lateral de DLL por processos de aplicações legítimas de defesa/aviação - Criação de serviços de reverse SSH em sistemas que não deveriam ter conexões SSH externas - Evidências de DCSync em logs de Active Directory (eventos 4662, 4624 de fontes incomuns) - Arquivos executáveis assinados com certificados de empresas não relacionadas ao software instalado - Remoção de entradas de histórico RDP e arquivos de log de forma automatizada **Mitigações recomendadas:** - Implementar verificação rigorosa de identidade para lures de recrutamento LinkedIn ([[m1017-user-training|M1017]]) - Auditar e restringir acessos VDI e Citrix de parceiros externos com princípio de menor privilégio ([[m1026-privileged-account-management|M1026]]) - Monitorar e alertar sobre operações DCSync no Active Directory ([[m1015-active-directory-configuration|M1015]]) - Inspecionar certificados digitais de binários antes da execução — detectar certificados de empresas não relacionadas - Implementar segmentação de rede estrita entre parceiros/fornecedores e redes internas críticas ([[m1030-network-segmentation|M1030]]) - Usar UEBA (User and Entity Behavior Analytics) para detectar anomalias de comportamento de acesso VDI ## Relevância LATAM O UNC1549 não possui histórico documentado de operações contra organizações brasileiras ou latino-americanas. O foco geográfico do grupo é estritamente o Oriente Médio e Europa, com ênfase em setores de defesa e aeroespacial. Contudo, os seguintes contextos brasileiros merecem atenção: - **Embraer e fornecedores aeroespaciais**: Como empresa aeroespacial de classe mundial, a Embraer e seu ecossistema de fornecedores representam um alvo potencial para grupos de espionagem focados no setor - **Organizações de defesa**: A indústria de defesa brasileira (Avibrás, IMBEL, INPE) com parcerias internacionais pode ser alvo indireto de comprometimento de cadeia de suprimentos - **Empresas de telecom**: O histórico de 2025 indicando comprometimento de telecoms europeias sugere possível expansão geográfica futura ## Referências - [Google/Mandiant: UNC1549 TTPs](https://cloud.google.com/blog/topics/threat-intelligence/analysis-of-unc1549-ttps-targeting-aerospace-defense) - [Mandiant: UNC1549 Israel/Middle East](https://cloud.google.com/blog/topics/threat-intelligence/suspected-iranian-unc1549-targets-israel-middle-east) - [Malpedia: UNC1549](https://malpedia.caad.fkie.fraunhofer.de/actor/unc1549) - [Brandefense: MINIBUS Backdoor Analysis](https://brandefense.io/blog/unc1549-minibus-backdoor-analysis/) - [Industrial Cyber: UNC1549 Surge Campaigns](https://industrialcyber.co/ransomware/mandiant-tracks-surge-in-unc1549-campaigns-hitting-aerospace-and-defense-through-third-party-access/)