Em Outubro de 2025, uma violação significativa expôs o funcionamento interno da APT35, também conhecida como Charming Kitten, uma unidade cibernética que opera dentro da Organização de Inteligência do Corpo da Guarda Revolucionária Islâmica do Irão.
Milhares de documentos vazados revelaram a abordagem sistemática do grupo para atingir governos e empresas em todo o Oriente Médio e na Ásia.
A exposição incluiu relatórios de desempenho, guias técnicos e registos operacionais que mostram uma imagem clara de como este grupo patrocinado pelo Estado conduz a espionagem cibernética em grande escala.
Os materiais vazados mostram que o APT35 opera como uma organização militar tradicional, e não como um coletivo casual de hackers.
Os analistas de segurança da DomainTools identificaram que o grupo mantém sistemas detalhados de rastreamento de desempenho, onde os operadores relatam suas horas de trabalho, tarefas concluídas e taxas de sucesso aos supervisores, que então compilam resumos abrangentes de campanhas.
Esta estrutura burocrática revela operadores que trabalham a partir de instalações centralizadas com sistemas de entrada com crachás, horários de trabalho fixos e mecanismos formais de supervisão.
A organização inclui equipes especializadas focadas no desenvolvimento de exploits, coleta de credenciais, operações de phishing e monitoramento de caixas de correio em tempo real para coletar inteligência humana. Os métodos de ataque documentados nos arquivos vazados são metódicos e altamente organizados.
Os pesquisadores de segurança da DomainTools observaram que o APT35 tem como alvo principal os servidores Microsoft Exchange por meio de cadeias de exploração ProxyShell combinadas com serviços Autodiscover e EWS para extrair listas de endereços globais contendo informações de contato de funcionários.
Essas listas de contatos tornam-se a base para campanhas de phishing direcionadas que coletam credenciais. Depois que o acesso inicial é obtido, o grupo usa ferramentas desenvolvidas sob medida para estabelecer acesso persistente e roubar credenciais adicionais da memória do computador usando técnicas semelhantes ao Mimikatz.
As informações roubadas permitem que os invasores se movam lateralmente pelas redes e mantenham o acesso a longo prazo.
O âmbito geográfico da campanha estende-se por múltiplas regiões críticas. As entidades visadas incluem ministérios governamentais, empresas de telecomunicações, agências alfandegárias e empresas de energia na Turquia, Líbano, Kuwait, Arábia Saudita, Coreia do Sul e Irão.
Os documentos vazados contêm listas de alvos anotadas com notas indicando quais ataques foram bem-sucedidos e quais falharam, juntamente com caminhos de webshell usados para manter o acesso.
O enfoque operacional revela prioridades estratégicas de recolha de informações alinhadas com os objectivos do governo iraniano, em vez de ataques oportunistas aleatórios.
O acesso às comunicações diplomáticas, à infra-estrutura de telecomunicações e aos sectores energéticos críticos fornece a Teerão informações valiosas para negociações geopolíticas e avaliação de ameaças.
Pipeline de exploração de exchange e coleta de credenciais
A infra-estrutura técnica que suporta as operações do APT35 demonstra um conhecimento sofisticado dos sistemas de e-mail corporativos.
Convergência Estrutural (Fonte – Domaintools)
O grupo arma as vulnerabilidades do Exchange por meio de uma sequência de exploração coordenada que começa com uma varredura de reconhecimento para identificar servidores vulneráveis. Uma vez identificados os alvos adequados, os operadores implantam webshells disfarçados de arquivos de sistema legítimos para estabelecer capacidades de execução remota de comandos.
Esses webshells, comumente nomeados com o padrão m0s.*, fornecem shells de comando interativos que os operadores acessam por meio de cabeçalhos HTTP especialmente criados.
As ferramentas cliente baseadas em Python usadas pelos operadores codificam comandos dentro dos cabeçalhos Accept-Language e usam um token estático para autenticação, criando um canal de comunicação secreto que se mistura com o tráfego de rede legítimo.
Após o acesso inicial, o grupo extrai a Lista de Endereços Global dos servidores Exchange, convertendo informações de contato de e-mail em dados estruturados para operações de phishing subsequentes.
As credenciais coletadas são imediatamente validadas e reutilizadas em outros sistemas na rede de destino.
Os documentos vazados descrevem scripts automatizados que validam shells e extraem conteúdo de caixas de correio sem intervenção humana, demonstrando maturidade no desenvolvimento de capacidades.
Todo o processo segue modelos padronizados documentados em manuais internos, com métricas de sucesso registradas em relatórios mensais de desempenho.
Esta abordagem sistemática ao comprometimento do Exchange, à extração de credenciais e à integração de phishing ilustra como o APT35 transforma vulnerabilidades técnicas em operações sustentáveis de coleta de inteligência, medidas por resultados quantificáveis, em vez de oportunidades aleatórias.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
