# Minibike Backdoor > [!high] Backdoor modular Windows implantado pelo grupo iraniano UNC1549 em operações de espionagem contra setores de defesa, aeroespacial e telecomúnicações, utilizando DLL hijacking em software legítimo para persistência furtiva de longo prazo. ## Descrição MINIBIKE é um backdoor modular para Windows desenvolvido e utilizado pelo grupo de ameaça UNC1549, atribuído com alta confiança a atores vinculados ao Irã. Implantado em campanhas de espionagem cibernética ativas desde meados de 2024, o MINIBIKE é projetado para estabelecer presença persistente e silenciosa em redes de organizações dos setores de defesa, aeroespacial e telecomúnicações - alvos estratégicos do Irã para coleta de inteligência geopolítica e industrial. O malware opera como módulo com capacidades combinadas de roubo de credenciais, keylogging, captura de tela e implantação de payloads adicionais. Sua principal característica técnica é a evasão sofisticada via **DLL Search Order Hijacking (SOH)**: os atacantes colocam DLLs maliciosas em diretórios pesquisados pelo Windows antes das localizações legítimas, visando executáveis de fornecedores como FortiGate, VMware, Citrix, Microsoft e NVIDIA. Em alguns casos, os atacantes instalam software legítimo desses fornecedores com privilégios SYSTEM após o comprometimento inicial, para então substituir ou adicionar DLLs maliciosas - técnica que torna a detecção baseada em inventário de software especialmente difícil. Variantes do MINIBIKE e ferramentas relacionadas da UNC1549 foram assinadas com certificados de assinatura de código legítimos para contornar listas de permissão de aplicativos (application whitelisting). Os certificados comprometidos identificados pelos pesquisadores foram posteriormente revogados. O MINIBIKE opera em conjunto com outras ferramentas do arsenal UNC1549, incluindo TWOSTROKE, DEEPROOT, LIGHTRAIL e GHOSTLINE - este último sendo um túnel sobre tráfego de nuvem para C2, tornando as comúnicações indistinguíveis de tráfego legítimo de serviços cloud. O acesso inicial é obtido principalmente via spear-phishing temático de recrutamento de emprego (LinkedIn e e-mail), com luras de vagas em empresas de defesa e aeroespacial como vetor de engenharia social - técnica histórica do grupo iraniano. Credenciais de terceiros (fornecedores, parceiros) também são exploradas como vetor alternativo, especialmente via comprometimento de acesso VDI (Citrix/VMware/Azure). ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - luras temáticas de recrutamento com malware em anexo ou link - [[t1574-001-dll-search-order-hijacking|T1574.001 - DLL Search Order Hijacking]] - persistência via DLL maliciosa em path buscado antes da DLL legítima - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais de terceiros/fornecedores para acesso inicial - [[t1056-001-keylogging|T1056.001 - Keylogging]] - captura de keystrokes para coleta de credenciais e dados sensíveis - [[t1113-screen-capture|T1113 - Screen Capture]] - captura de tela para reconhecimento visual e coleta de informações - [[t1090-001-proxy|T1090.001 - Proxy]] - tunelamento de C2 via tráfego cloud (LIGHTRAIL/GHOSTLINE) para evasão - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - roubo de credenciais de memória e processos - [[t1218-signed-binary-proxy-execution|T1218 - Signed Binary Proxy Execution]] - uso de certificados legítimos para evasão de controles de aplicação - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - download de payloads adicionais pós-comprometimento ## Grupos que Usam - [[unc1549-defense-aerospace-2024|UNC1549]] - grupo iraniano responsável pelo desenvolvimento e uso exclusivo do MINIBIKE em campanhas de espionagem contra defesa e aeroespacial desde meados de 2024 ## Detecção **Monitoramento de DLL hijacking:** Auditar instalações de software legítimo de fornecedores como FortiGate, VMware, Citrix e NVIDIA realizadas com privilégios SYSTEM em contextos não esperados. Monitorar criação ou modificação de DLLs em diretórios de aplicação de fornecedores confiáveis por processos não relacionados ao instalador oficial. Alertas para DLLs com assinaturas revogadas carregadas por processos legítimos são prioritários. **Análise comportamental:** Como cada payload MINIBIKE recebe hash único por vítima, detecção baseada em assinatura é ineficaz. Priorizar analytics comportamentais: FortiEDR e FortiEndpoint reportam bloqueio por comportamento da família MINIBIKE. Caças de ameaças (threat hunts) periódicos focados em DLL hijacking em aplicações de fornecedores críticos de segurança são essenciais. **Monitoramento de acesso de terceiros:** Auditar logins de contas de fornecedores e parceiros, especialmente em ambientes VDI. Implementar revisão periódica de contas com acesso privilegiado a redes de defesa/aeroespacial. Alertas para acesso fora do horário contratual por contas de terceiros são indicadores de possível comprometimento. **Análise de tráfego de rede:** Detectar tráfego de C2 tunelado via LIGHTRAIL/GHOSTLINE requer análise de comportamento de tráfego cloud, não apenas bloqueio por IP/domínio. Anomalias em volumes ou padrões temporais de conexões a serviços cloud legítimos por hosts de rede interna devem ser investigadas. ## Relevância LATAM/Brasil O MINIBIKE e as operações da UNC1549 focam em alvos do complexo industrial de defesa e telecomúnicações - setores com presença relevante no Brasil, incluindo a [[embraer|Embraer]], o setor de defesa da Telebras e fornecedores do complexo militar-industrial brasileiro. Embora não existam ataques documentados no Brasil específicamente, a expansão das operações da UNC1549 para 34 dispositivos em 11 empresas de telecomúnicações (reportado em 2025) via luras de emprego no LinkedIn demonstra alcance global crescente. Organizações brasileiras nos setores de [[technology|tecnologia]], [[telecommunications|telecomúnicações]] e [[government|governo]] com contratos de defesa ou participação em projetos estratégicos devem considerar o MINIBIKE em seus modelos de ameaça. ## Referências - [Google Mandiant - UNC1549 TTPs Targeting Aerospace and Defense](https://cloud.google.com/blog/topics/threat-intelligence/analysis-of-unc1549-ttps-targeting-aerospace-defense) - [FortiGuard - UNC1549 Critical Infrastructure Espionage](https://www.fortiguard.com/threat-signal-report/6276/unc1549-critical-infrastructure-espionage-attack) - [Industrial Cyber - Mandiant Tracks UNC1549 Campaigns](https://industrialcyber.co/ransomware/mandiant-tracks-surge-in-unc1549-campaigns-hitting-aerospace-and-defense-through-third-party-access/) - [The Hacker News - UNC1549 Hacks 34 Devices in 11 Telecom Firms](https://thehackernews.com/2025/09/unc1549-hacks-34-devices-in-11-telecom.html) - [Malpedia - UNC1549 Actor Profile](https://malpedia.caad.fkie.fraunhofer.de/actor/unc1549)