Um ator de ameaça com vínculos com o Irã, conhecido como UNC1549, foi atribuído a um novo conjunto de ataques direcionados às indústrias aeroespacial, de aviação e defesa no Oriente Médio, incluindo Israel e os Emirados Árabes Unidos.

Outros alvos da atividade de espionagem cibernética provavelmente incluem Turquia, Índia e Albânia, segundo uma nova análise da Mandiant, empresa do Google. Segundo os pesquisadores, esta atividade suspeita do UNC1549 está ativa desde pelo menos junho de 2022 e continua em andamento até fevereiro de 2024.

Embora regional em natureza e focada principalmente no Oriente Médio, o direcionamento inclui entidades operando mundialmente. Os ataques envolvem o uso da infraestrutura de nuvem da Microsoft Azure para comando e controle (C2) e engenharia social envolvendo iscas relacionadas a empregos para entregar dois backdoors denominados MINIBIKE e MINIBUS.

Os backdoors personalizados, ao estabelecerem acesso C2, atuam como um canal para coleta de inteligência e para acesso adicional à rede alvo. Outra ferramenta implantada nesta fase é um software de tunelamento chamado LIGHTRAIL que se comunica usando a nuvem Azure. A inteligência coletada sobre essas entidades é relevante para os interesses estratégicos iranianos e pode ser aproveitada para espionagem, bem como operações cinéticas.