Quem é o Predatory Sparrow e qual seu objetivo?

Predatory Sparrow é um grupo hacker sofisticado, ligado a operações de guerra cibernética, que ataca alvos estratégicos do Irã com motivação política, e não financeira. Seu foco é desestabilizar, não lucrar.

Como o grupo destruiu as criptomoedas da Nobitex?

O grupo acessou hot wallets da exchange e transferiu os ativos para carteiras vanity com mensagens simbólicas. Essas carteiras não possuem chave privada real os valores foram permanentemente destruídos.

Como bancos e exchanges podem se proteger de ataques semelhantes?

Com arquitetura segmentada, proteção de credenciais via HSM, EDRs comportamentais, hardening real de sistemas e planos de resposta a incidentes com coleta de memória, tráfego e logs em tempo real.

O Ataque Cibernético que Derreteu Bancos e Criptomoedas no Irã - hacking

Silhueta do Predatory Sparrow sobre cidade em chamas, simbolizando ataque cibernético ao Irã em 2025

🕒 Leitura: 9 min 📂 Categoria: hacking

ACESSIBILIDADE:

Neste Artigo

“Imagine viver em um país em guerra, com sanções internacionais, inflação nas alturas… e de repente ver os poucos lucros que você acumulou em criptomoedas simplesmente sumirem. Não foi um bug. Foi um ataque.”

O Começo de Tudo: Um Inimigo Invisível e Mortal

Na madrugada do dia 17 de junho de 2025, sistemas bancários iranianos começaram a falhar. Terminais de caixas eletrônicos deixaram de funcionar, plataformas de internet banking não carregavam, e agências amanheceram offline. No dia seguinte, enquanto a confusão ainda tomava conta do país, uma das principais exchanges de criptomoedas do Irã, a Nobitex, saiu do ar sem qualquer explicação imediata. Horas depois, o golpe final: mais de 90 milhões de dólares em criptoativos haviam sido “queimados” intencionalmente destruídos e enviados para carteiras inacessíveis.

Esse não foi um ataque de ransomware. Não houve pedido de resgate. Ninguém exigiu um centavo. Foi algo muito mais profundo, muito mais simbólico.
Foi um recado.
Foi uma operação de guerra cibernética em estado puro, comandada por um grupo já conhecido por suas ações cirúrgicas e altamente políticas: o Predatory Sparrow.

Quem É o Predatory Sparrow?

Chamado em persa de Gonjeshke Darande, o grupo ficou conhecido em 2021 por sequestrar estações de combustível no Irã, exibindo mensagens zombando do governo em painéis eletrônicos.

Em 2022, ele voltou aos holofotes após supostamente causar um incêndio catastrófico em uma siderúrgica iraniana usando malware para manipular sistemas industriais e literalmente derreter aço até o ponto de colapso.

Diferente de grupos convencionais de cibercrime, o Predatory Sparrow não busca dinheiro. Ele busca impacto. Busca desmoralização pública. Busca desestabilização estratégica.
E tudo isso com métodos extremamente sofisticados: engenharia social precisa, implantes avançados, destruição calculada e, acima de tudo, mensagens cuidadosamente construídas para o mundo ver.

Por que Bancos e Cripto?

Atacar o sistema bancário é atingir o coração da confiança de um país.
Atacar as criptomoedas a única válvula de escape do povo iraniano contra as sanções do Ocidente é quebrar o futuro.

Os alvos foram escolhidos com cirurgicamente precisão:

Banco Sepah: um dos principais braços financeiros do IRGC (Guarda Revolucionária do Irã), listado em diversas sanções internacionais por financiar ações militares e terrorismo.
Nobitex: a maior exchange de cripto do Irã, com mais de 4 milhões de usuários. Embora seja “oficialmente privada”, documentos vazados e denúncias indicam envolvimento direto com órgãos do governo para contornar sanções usando stablecoins e Ethereum.

Em outras palavras: destruir essas duas entidades seria o mesmo que sabotar tanto o aparato militar quanto o econômico do Irã em uma tacada só.

Como Começou o Ataque?

Os detalhes ainda estão sendo revelados, mas as pistas mostram um planejamento complexo, com semanas ou meses de infiltração silenciosa. O Predatory Sparrow provavelmente iniciou com engenharia social, usando e-mails cuidadosamente elaborados, fingindo ser documentos oficiais ou atualizações internas um clássico spear phishing.

A partir daí, malwares implantados permitiram acesso remoto, leitura de arquivos sensíveis, e mapeamento da rede interna.
No caso do Banco Sepah, acredita-se que tenham usado uma espécie de wiper malware um código que não rouba, mas apaga e destrói irrecuperavelmente os dados.

Na Nobitex, o processo foi mais simbólico. Depois de acessarem as carteiras de hot wallets, os invasores transferiram o equivalente a 90 milhões de dólares em criptoativos para endereços cujas chaves privadas não existem carteiras programadas com nomes como:

0xF***IRGCterroristsE44D0

Não houve tentativa de monetizar. Foi, como disse o próprio grupo em comunicado público, uma queima deliberada de capital estatal.

Impacto Imediato: O Caos Interno

Clientes do Banco Sepah ficaram sem acesso a contas e serviços por mais de 48 horas.
Nobitex parou de operar, suspendeu saques e depósitos, e passou a limitar a comunicação pública — o que aumentou o pânico.
O governo iraniano ativou restrições de internet, desacelerando toda a rede nacional, tentando evitar a disseminação da notícia e mitigar novos ataques.
Grupos financeiros internacionais, como o SWIFT iraniano alternativo e operadoras de stablecoin, começaram a bloquear temporariamente transferências envolvendo o país.

Além disso, imagens de dashboards da Nobitex e código-fonte do seu back-end foram vazados para provar a vulnerabilidade e a ligação com autoridades.

O Ataque Não Foi Pelo Dinheiro. Foi Pela Narrativa.

A verdadeira arma do Predatory Sparrow não é o malware.
É o controle da história.

Ao atacar de forma pública, destrutiva e simbólica, eles invertem o jogo da dissimulação e da negação. O Irã, que há décadas opera no submundo digital com proxies e grupos como APT33, agora se vê exposto, humilhado e tecnicamente vulnerável.

E o mais preocupante: nenhuma defesa convencional evitou isso.

O Que Vem Agora?

Esse foi apenas o primeiro movimento da campanha de 2025.
As mensagens do grupo indicam que há mais alvos definidos, mais dados em mãos, e mais destruição simbólica planejada.

Como cibersegurança, o caso nos alerta:

Sistemas bancários e exchanges precisam camadas reais de segregação e detecção.
Não basta criptografia: é necessário controle de identidade e autenticação forte em cada ponto do ciclo.
Toda empresa crítica precisa de um plano real de resposta a incidentes com rastreamento interno de movimentações.

tapa 1 — Reconhecimento: Onde começa a guerra silenciosa

Antes do primeiro byte ser apagado ou a primeira carteira ser drenada, veio a etapa que define o sucesso de qualquer operação APT: reconhecimento.

O Predatory Sparrow sabia onde mirar. Os alvos tinham importância estratégica:

Banco Sepah: ligado ao IRGC e a sanções internacionais.
Nobitex: a maior exchange do Irã, suspeita de lavar cripto para órgãos do governo.

Com isso, o grupo coletou:

Endereços de IP públicos expostos (via Shodan, Censys);
E-mails de funcionários para spear phishing;
Sistemas vulneráveis visíveis pela web (portas, banners, headers);
Tecnologias utilizadas: versões do Outlook Web Access, painéis Django/Flask, interfaces blockchain RPC abertas.

Ferramentas prováveis utilizadas: recon-ng, FOCA, Shodan CLI, subfinder, amass, enum4linux, etc.

Etapa 2 — Infiltração inicial: O golpe invisível

A hipótese mais sólida aponta para spear phishing combinado com exploração de aplicações web expostas.

Vetor 1: E-mail personalizado (spear phishing)

Um funcionário de TI da Nobitex ou do Banco Sepah recebe um e-mail com um PDF ou link apontando para um documento de "relatório de auditoria interna". Ao clicar, ele:

Executa um dropper em PowerShell (IEX(New-Object Net.WebClient)...)
Ou carrega um macro malicioso disfarçado em um .docx.

Esse dropper injeta um payload em memória com persistência mínima (provavelmente usando schtasks ou HKCU\Run) e se conecta a um servidor C2 disfarçado em CDN ou proxy.

Isso inicia o beaconing silencioso.

Vetor 2: Exploração Web

No caso da Nobitex, que opera APIs blockchain internas e serviços em Flask/Django:

Vulnerabilidades possíveis: path traversal, SSRF, RCE, falhas de autenticação 2FA ou endpoints de recuperação inseguros.
Possibilidade de acesso à interface de administração blockchain via API sem verificação de origem ou assinatura.

Etapa 3 — Movimento lateral e persistência

Após o acesso inicial, o próximo passo é o movimento lateral controlado para alcançar:

Servidores com chaves privadas (hot wallets),
Painel de administração,
Sistemas de monitoramento e logs.

Técnicas utilizadas:

mimikatz ou dump do LSASS para senhas,
Uso de smbexec, wmic ou psexec.py do Impacket,
Proxy reverso via ngrok, chisel ou túnel customizado sobre DNS/HTTPS,
Beacon via Cobalt Strike, Sliver ou ferramentas similares stealth.

Etapa 4 — Extração e destruição

No Banco Sepah:

Aplicação de malware tipo wiper: similar a Shamoon, NotPetya ou HermeticWiper.
Comandos para apagar logs:

wevtutil cl System
del C:\Windows\Temp\* /s /q

Destruição de partições com diskpart, scripts com bcdedit, format, ou uso de driver com acesso direto à MBR.

A ideia era causar interrupção operacional total, não furtar dados.

Na Nobitex:

Acesso direto às chaves privadas de hot wallets (armazenadas em disco ou em variáveis de ambiente).
Uso de scripts em Python para gerar transações:

from web3 import Web3
w3 = Web3(Web3.HTTPProvider('https://mainnet.infura.io/v3/API_KEY'))
tx = {
'to': '0xF1RGCterrorists123',
'value': w3.toWei(90, 'ether'),
...
}

Transações assinadas e enviadas para carteiras vanity address impossíveis de acessar (burn wallets simbólicas).

Etapa 5 — Propaganda + vazamento

Criação de perfis falsos com domínios controlados pelo grupo,
Publicação de parte do código-fonte da Nobitex,
Prints dos painéis internos do banco com mensagens como:

This was not a crime. This was a warning.
Stop funding terrorists.
– Predatory Sparrow ?

Etapa 6 — Antiforense e evasão

Apagamento de logs com PowerShell, wevtutil, auditpol.
Desabilitação de antivírus com Set-MpPreference.
Beaconing disfarçado com User-Agent padrão (Googlebot, curl/7.78).
Tráfego criptografado com TLS 1.2 (letsencrypt certs válidos).
Uso de máquinas VPS em regiões neutras (Panamá, Malásia, Chile).

Este ataque é o exemplo perfeito de uma APT moderna: silenciosa, técnica, simbólica e devastadora.

O grupo não buscou lucro, mas narrativa.
Combinou engenharia social com infiltração manual e automação, destruiu reputações financeiras e queimou milhões de dólares tudo sob uma operação perfeitamente planejada.

Conclusão

O ataque do Predatory Sparrow em 2025 mostrou que qualquer infraestrutura bancária ou de cripto é vulnerável se a segurança for apenas formal.
A defesa real exige:

Arquitetura sólida,
Monitoramento inteligente,
Controle de identidade,
E um plano real de resposta técnica e institucional.

Neste novo mundo, criptografia é o mínimo. Arquitetura é o essencial. E vigilância constante é o padrão.

Escrito por

Daniel Felipe

Publicado em 19/06/2025 16:53

Mais Publicações