Um grupo hacker iraniano patrocinado pelo Estado manteve, por quase dois anos, acesso clandestino à infraestrutura crítica nacional (CNI) de um país do Oriente Médio, segundo relatório da Fortinet. A operação, que durou de maio de 2023 a fevereiro de 2025, envolveu espionagem intensa e posicionamento estratégico para acessos futuros, prática comum em ataques estatais. A campanha é atribuída ao grupo Lemon Sandstorm (também conhecido como Rubidium, Pioneer Kitten e UNC757), ativo desde 2017, com histórico de ataques aos setores aeroespacial, de energia e água. O grupo explorou falhas conhecidas em VPNs da Fortinet, Pulse Secure e Palo Alto Networks para invadir sistemas.

O ataque foi dividido em quatro fases, com evolução nas ferramentas utilizadas à medida que a vítima implementava defesas. Inicialmente, os invasores usaram credenciais roubadas para acessar sistemas VPN, implantar backdoors como Havoc, HanifNet e HXLibrary e instalar web shells. Posteriormente, adicionaram novas ferramentas como NeoExpressRAT, MeshCentral Agent e SystemBC, intensificaram a extração de e-mails e tentaram comprometer a infraestrutura de virtualização.

Após medidas de contenção, os hackers tentaram retomar o controle usando vulnerabilidades do sistema Biotime e e-mails de spear-phishing direcionados a 11 funcionários, buscando acessar contas Microsoft 365. A Fortinet destaca que os invasores usaram ferramentas open-source e malwares personalizados para manter o acesso e evitar detecção, indicando operações manuais e sofisticadas. Apesar de não haver evidências de que a rede OT tenha sido comprometida, o grupo demonstrou interesse claro em sistemas adjacentes a ela.