# APT39 Telecom Espionage > [!high] Espionagem de Vigilância Iraniana - Foco em Telecomúnicações e Dados Pessoais > A campanha de espionagem em telecomúnicações do [[g0087-apt39]] (também conhecido como Chafer, Remix Kitten e ITG07) representa uma das operações mais distintas do ecossistema iraniano: em vez de sabotagem ou roubo de propriedade intelectual, o grupo coletou sistematicamente dados pessoais de indivíduos - itinerários de viagem, registros de chamadas, metadados de comúnicações, informações de passaporte - para apoiar operações de vigilância física do Ministério de Inteligência e Segurança do Irã (MOIS) contra dissidentes, jornalistas e alvos geopolíticos. ## Visão Geral A campanha de espionagem em telecomúnicações do [[g0087-apt39]] foi identificada formalmente pela FireEye em dezembro de 2018, mas com atividade documentada desde novembro de 2014. Operando sob o guarda-chuva do MOIS iraniano através da empresa de fachada **Rana Intelligence Computing**, o grupo se distingue de outros atores iranianos por seu foco excepcional na coleta de dados pessoais identificáveis (PII) - não para fins financeiros ou sabotagem, mas para apoiar vigilância e rastreamento de indivíduos considerados ameaças ao regime iraniano. Os setores primariamente visados - telecomúnicações, viagens, hospitalidade e tecnologia de TI - foram escolhidos de forma deliberada e estratégica: são exatamente os setores que possuem dados sobre movimentos, comúnicações e identidade de pessoas. Operadoras de telecomúnicações do Oriente Médio comprometidas pelo [[g0087-apt39]] forneceram acesso a registros detalhados de chamadas (CDRs), dados de localização de torres celulares e metadados de SMS - dados que, em conjunto, permitem rastrear os movimentos e comúnicações de indivíduos específicos com precisão operacional. O targeting de entidades governamentais indica uma segunda camada de objetivos: coleta de dados geopolíticos para apoiar tomada de decisão do Estado iraniano. Dissidentes iraneses no exterior, jornalistas cobrindo o Irã, ativistas de direitos humanos e diplomatas foram alvos documentados. O impacto da campanha vai além das organizações diretamente comprometidas: as informações coletadas das operadoras de telecomúnicações expuseram potencialmente a localização, comúnicações e contatos de milhões de usuários dos sistemas comprometidos. ## Attack Flow da Campanha ```mermaid graph TB A["🎯 Seleção de Alvos<br/>Operadoras telecom, agências de viagem<br/>Funcionários com acesso a CDRs e PNRs"] --> B["📧 Acesso Inicial<br/>Spear phishing (T1566.001/002)<br/>Web shells em OWA (T1190)<br/>Credenciais comprometidas"] B --> C["🔧 Foothold<br/>SEAWEED / CACHEMONEY backdoor<br/>POWBAT variant<br/>Web shells ANTAK e ASPXSPY"] C --> D["🔑 Escalada e Reconhecimento<br/>Mimikatz / Ncrack (credenciais)<br/>BLUETORCH (port scanner)<br/>CrackMapExec"] D --> E["🔄 Movimento Lateral<br/>RDP, SSH, PsExec<br/>Proxies SOCKS5 customizados<br/>REDTRIP / PINKTRIP / BLUETRIP"] E --> F["📦 Coleta e Exfiltração<br/>CDRs, PNRs, dados de passaporte<br/>WinRAR / 7-Zip para compressão<br/>Exfiltração via canal C2"] ``` **Técnicas:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1003-os-credential-dumping|T1003]] · [[t1560-001-archive-via-utility|T1560.001]] ## Arsenal Técnico ```mermaid graph TB subgraph "Backdoors Customizados" SW["SEAWEED Backdoor<br/>Backdoor principal pós-acesso<br/>Comúnicação HTTP C2"] CM["CACHEMONEY Backdoor<br/>Segunda opção de backdoor<br/>Persistência longa duração"] PB["POWBAT Variant<br/>Variante única do APT39<br/>Diferente da variante APT34"] end subgraph "Ferramentas de Movimento Lateral" RT["REDTRIP<br/>Cria proxies SOCKS5"] PT["PINKTRIP<br/>Variante de proxy"] BT["BLUETRIP<br/>Proxy entre hosts infectados"] BC["BLUETORCH<br/>Port scanner customizado"] end subgraph "Ferramentas Públicas Modificadas" MZ["Mimikatz (modificado)<br/>Repacked contra AV"] NC["Ncrack<br/>Força bruta de credenciais"] PS["PsExec / RemCom<br/>Execução remota"] end SW --> RT CM --> BT RT --> MZ ``` ## Dados Coletados - Tipos de PII A natureza altamente específica dos dados coletados é uma das assinaturas do [[g0087-apt39]]: | Tipo de Dado | Fonte | Finalidade Operacional | |-------------|-------|------------------------| | CDRs (Call Detail Records) | Operadoras telecom | Rastrear com quem alvo se comúnica | | Dados de localização de torres | Operadoras telecom | Rastrear movimentos físicos por celular | | PNRs (Passenger Name Records) | Agências de viagem | Antecipar viagens e localizações de alvos | | Itinerários de hotel | Empresas de hospitalidade | Identificar localização física de alvos | | Dados de passaporte | Sistemas de imigração | Verificar identidade e movimentos internacionais | | Metadados de e-mail | Sistemas OWA comprometidos | Mapear rede de contatos de alvos | ## Contexto: Vigilância do MOIS Em setembro de 2020, o Departamento do Tesouro dos EUA (OFAC) **sancionou a Rana Intelligence Computing** e vários de seus funcionários, confirmando públicamente a conexão entre o [[g0087-apt39]] e o aparato de vigilância do MOIS. Isso representa uma das poucas confirmações governamentais explícitas de um grupo APT como instrumento de vigilância estatal interna. ## Relevância para o Brasil e LATAM > [!low] Comunidade Iraniana e Riscos Indiretos > O Brasil tem a maior comunidade iraniana das Américas, com comunidades estabelecidas em São Paulo e Rio de Janeiro. Embora não haja evidência de que o [[g0087-apt39]] tenha realizado operações diretas no Brasil, a métodologia do grupo (coleta de dados de telecomúnicações e viagens sobre dissidentes e ativistas iraneses no exterior) é relevante para organizações que atendem comunidades iranianas. Operadoras de telecomúnicações brasileiras com roaming internacional conectado ao Oriente Médio podem ser alvo potencial de coleta de metadados sobre usuários iraneses de interesse ao MOIS. ## Detecção e Defesa - Monitorar acesso anômalo a sistemas de CDR e bases de dados de registros de clientes - Detectar uso de ferramentas de proxy SOCKS5 não autorizadas em redes corporativas - Implementar MFA resistente a phishing no Outlook Web Access (OWA) - Revisar logs de RDP e SSH para logins de contas de serviço incomuns - Aplicar patch para CVE-2017-11882 (Equation Editor do Microsoft Office) ## Referências - [FireEye — APT39: An Iranian Cyber Espionage Group Focused on Personal Information (2019)](https://cloud.google.com/blog/topics/threat-intelligence/apt39-iranian-cyber-espionage-group-focused-on-personal-information) - [MITRE ATT&CK — APT39 (G0087)](https://attack.mitre.org/groups/G0087/) - [OFAC — Sanctions Against Rana Intelligence Computing (2020)](https://home.treasury.gov/news/press-releases/sm1127) - [Hedgehog Security — APT39: A Closer Look (2024)](https://www.hedgehogsecurity.co.uk/blog/apt39-a-closer-look) - [[g0087-apt39]] - Grupo de ameaça iraniano responsável pela campanha - [[t1190-exploit-public-facing-application|T1190]] - Exploração de aplicações expostas (OWA, web apps) - [[t1566-001-spearphishing-attachment|T1566.001]] - Spear phishing com anexos maliciosos