# IOCONTROL > [!critical] Malware ICS/OT do IRGC — Infraestrutura Crítica Global > IOCONTROL é um malware de ICS/OT atribuído ao grupo iraniano CyberAv3ngers (afiliado ao IRGC), documentado em ataques a sistemas de água, energia e combustível nos EUA e Israel. É um dos primeiros malwares ICS "agnósticos" conhecidos, capaz de operar em hardware diversificado de múltiplos fabricantes sem customização específica. IOCONTROL é um malware de ICS/OT (Industrial Control Systems / Operational Technology) atribuído ao grupo iraniano **CyberAv3ngers**, afiliado ao IRGC (Guarda Revolucionária Iraniana). O malware foi documentado em ataques a sistemas de controle de infraestrutura crítica nos EUA e Israel, incluindo controladores de sistemas de água, energia e combustível. A CISA e o FBI emitiram advisory conjunto em dezembro de 2023 sobre o IOCONTROL. ## Visão Geral O IOCONTROL demonstra capacidade modular para atacar uma ampla gama de dispositivos IoT e OT industriais - incluindo PLCs, HMIs, servidores SCADA, roteadores industriais e câmeras de segurança. Foi identificado em dispositivos de múltiplos fabricantes (Orpak, Gasboy, Phoenix Contact), tornando-se um dos primeiros malwares de ICS "agnósticos" documentados capaz de operar em hardware diversificado sem customização específica por modelo. Em 2023, o CyberAv3ngers usou o IOCONTROL para comprometer estações de abastecimento de combustível e sistemas de tratamento de água nos EUA e Israel, exibindo mensagens anti-israelenses nos painéis HMI. O impacto operacional incluiu paralisação de bombas e desativação remota de dispositivos. > [!latam] Relevância para o Brasil e LATAM > O Brasil possui infraestrutura crítica de energia (hidrelétricas, petróleo e gás da Petrobras), água e saneamento amplamente digitalizada e crescentemente conectada. O IOCONTROL, ao explorar dispositivos IoT/OT de múltiplos fabricantes sem customização específica, representa ameaça genérica a qualquer ambiente industrial. Incidentes envolvendo grupos hacktivistas pró-iranianos têm expandido geograficamente além do Oriente Médio. Operadores de [[energy|energia]], [[water|saneamento]] e infraestrutura crítica no Brasil devem priorizar segmentação de redes OT e implementar monitoramento específico para protocolos industriais como Modbus e DNP3. ## TTPs - [[t1059-command-and-scripting-interpreter|T1059]] - execução via shell em dispositivos Linux embarcados - [[t1562-impair-defenses|T1562]] - desativação de controles de segurança em dispositivos ICS - [[t1496-resource-hijacking|T1496]] - uso de dispositivos comprometidos como C2 relay ## Referências - CISA/FBI Advisory AA23-335A: IRGC-Affiliated Cyber Actors (dez/2023) - Claroty Team82: IOCONTROL Analysis (jan/2024) - Forescout Research Labs: CyberAv3ngers ICS Malware (2024)