Irã usa IA em campanha maliciosa

Relatório da Check Point Research aponta operações do grupo Nimbus Manticore, ligado à Guarda Revolucionária do Irã, contra setores de aviação e software nos Estados Unidos, Europa e Oriente Médio. Os ataques ocorreram entre fevereiro e abril, durante o conflito regional envolvendo o Irã.

Os pesquisadores identificaram pela primeira vez o uso de envenenamento de SEO como vetor de distribuição de malware. Os operadores criaram páginas falsas de download de softwares populares e as posicionaram entre os primeiros resultados de buscadores como Bing e DuckDuckGo.

Nova abordagem sem phishing

Segundo Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças na Check Point Research, a terceira onda de campanha chamou atenção por dispensar iscas tradicionais. “Os operadores criaram uma página falsa de download de software e a posicionaram entre os principais resultados de busca do Bing e do DuckDuckGo. Nesse modelo, não há spear phishing ou falsa oferta de emprego, pois o ataque depende apenas de o usuário buscar um software legítimo”, explica.

O relatório também aponta indícios de desenvolvimento de malware assistido por inteligência artificial. Os especialistas observaram estruturas altamente modulares, nomenclaturas excessivamente descritivas e tratamento extensivo de erros, características compatíveis com o uso de ferramentas baseadas em IA para acelerar a criação de código malicioso. O grupo construiu e implantou um novo backdoor enquanto as operações ainda estavam em andamento.

Shykevich afirma que as ambições do grupo foram além da espionagem direcionada no Oriente Médio. “Quando analisamos as três ondas de campanha em conjunto, entre fevereiro e abril, fica claro que as operações não desaceleraram durante o conflito. Pelo contrário, os indícios apontam para uma aceleração das atividades.”