Um ator ameaça iraniano afiliado ao Ministério de Inteligência e Segurança (MOIS) foi atribuído como responsável por ataques de exclusão destrutiva direcionados à Albânia e Israel sob as personas Justiça Patriota e Karma, respectivamente. A empresa de segurança cibernética Check Point está monitorando a atividade sob o nome de código Void Manticore, também conhecido como Storm-0842 (anteriormente DEV-0842) pela Microsoft. Há clara semelhança entre os alvos do Void Manticore e o Scarred Manticore, com indicações de transferência sistemática de alvos entre os dois grupos ao decidir realizar atividades destrutivas contra as vítimas existentes do Scarred Manticore. O ator é conhecido por seus ataques cibernéticos disruptivos contra a Albânia desde julho de 2022 sob o nome Justiça Patriota, que envolvem o uso de um malware de exclusão feito sob medida chamado Cl Wiper e No-Justice (também conhecido como LowEraser). Ataques semelhantes de malware de exclusão também têm como alvo sistemas Windows e Linux em Israel após a guerra entre Israel e o Hamas após outubro de 2023, utilizando outro malware de exclusão personalizado denominado BiBi. O grupo ativista pró-Hamas atende pelo nome Karma. As cadeias de ataque orquestradas pelo grupo são “simples e diretas”, geralmente se aproveitando de ferramentas disponíveis publicamente e fazendo uso do Protocolo de Área de Trabalho Remota (RDP), Protocolo de Mensagem de Servidor (SMB) e Protocolo de Transferência de Arquivos (FTP) para movimentação lateral antes da implantação do malware. O acesso inicial em alguns casos é obtido pela exploração de falhas de segurança conhecidas em aplicativos acessíveis pela internet. Uma pegada bem-sucedida é seguida pela implantação de conchas web, incluindo uma chamada Concha Karma que se disfarça como uma página de erro, mas é capaz de enumerar diretórios, criar processos, fazer upload de arquivos e iniciar/parar/listar serviços. O Void Manticore é suspeito de usar acessos previamente obtidos pelo Scarred Manticore para realizar suas próprias intrusões, destacando um procedimento de “transferência” entre os dois atores de ameaças. Essa alta cooperação foi anteriormente destacada pela Microsoft em sua própria investigação sobre os ataques direcionados a governos albaneses em 2022, observando que vários atores iranianos participaram e que eram responsáveis por fases distintas. Vale ressaltar que o Storm-0861 é considerado um elemento subordinado dentro do APT34, um grupo patrocinado pelo estado iraniano conhecido pelos malwares Shamoon e ZeroCleare. As técnicas empregadas em ataques contra Israel e Albânia, incluindo a coordenação entre os dois diferentes atores, sugerem que esse processo se tornou rotineiro. As operações do Void Manticore são caracterizadas por sua abordagem dual, combinando guerra psicológica com destruição real de dados, feita por meio de ataques de exclusão e vazamento público de informações, ampliando a destruição nas organizações alvo.