# DeTankWar Game Campaign > [!high] > Campanha norte-coreana do grupo **Moonstone Sleet** que usou um jogo de tanques totalmente funcional chamado **DeTankWar** como vetor de entrega de malware. Ativa desde fevereiro de 2024, a operação combinou engenharia social elaborada com empresas falsas, malware loader customizado e o primeiro ransomware proprio do grupo (**FakePenny**), exigindo US$ 6,6M em BTC de vitimas no setor de defesa. ## Visão Geral O [[g1036-moonstone-sleet]] (anteriormente rastreado como Storm-1789 pela Microsoft) e um ator de ameaça norte-coreano identificado públicamente em maio de 2024, que combina TTPs tradicionais do ecossistema DPRK com métodologias proprias e inovadoras. A campanha DeTankWar representa uma das operações de engenharia social mais elaboradas já documentadas: o grupo desenvolveu um jogo blockchain play-to-earn completamente funcional - com site proprio, contas no X (Twitter), personagens e graficos gerados por IA - para atrair alvos no setor de tecnologia, defesa e educação. O jogo foi distribuido como oportunidade de colaboracao ou investimento via mensagens diretas em plataformas como LinkedIn, Telegram e email. As vitimas eram abordadas por supostos desenvolvedores de jogos de empresas ficticia (C.C. Waterfall, StarGlow Ventures), convidadas a testar o game e, ao lancar o executavel `delfi-tank-unity.exe`, uma DLL maliciosa era carregada silenciosamente instalando o loader YouieLoad. Em abril de 2024, a Microsoft documentou o primeiro uso de ransomware pelo Moonstone Sleet: o FakePenny foi implantado contra uma empresa de tecnologia de defesa que havia sido comprometida inicialmente em fevereiro de 2024 via DeTankWar. A nota de resgaté do FakePenny tinha sobreposicao significativa com a nota usada pelo Seashell Blizzard no NotPetya, sugerindo acesso a ferramentas de outros grupos norte-coreanos. Em outubro de 2024, pesquisadores da Kaspersky revelaram uma dimensao adicional: o site do DeTankZone continha um script oculto explorando uma vulnerabilidade zero-day no Chrome (antes do patch) para comprometer visitantes sem necessidade de download. ## Attack Flow ```mermaid graph TB A["👤 Abordagem via LinkedIn/Telegram<br/>Empresas falsas (C.C. Waterfall,<br/>StarGlow Ventures) como vetores"] --> B["🎮 Download do Jogo DeTankWar<br/>delfi-tank-unity.exe - jogo<br/>totalmente funcional como isca"] B --> C["💉 Carga de DLL Maliciosa<br/>YouieLoad carregado via<br/>DLL side-loading"] C --> D["🔍 Reconhecimento e C2<br/>Descoberta de rede e usuarios<br/>coleta de dados do navegador"] D --> E["🎯 Selecao de Alvos de Alto Valor<br/>Comandos hands-on-keyboard<br/>roubo de credenciais LSASS"] E --> F["💰 Implantação de FakePenny<br/>Ransomware customizado<br/>US$ 6,6M em BTC exigidos"] ``` ## Cronologia ```mermaid timeline title DeTankWar Campaign - Linha do Tempo Ago 2023 : PuTTY trojanizado distribuido via LinkedIn/Telegram : Sobreposicao inicial com Diamond Sleet detectada Ján 2024 : StarGlow Ventures e C.C. Waterfall criadas : Campanhas de email em setores de educacao e defesa Fev 2024 : Campanha DeTankWar comecada : YouieLoad implantado via jogo Abr 2024 : FakePenny ransomware implantado em empresa de defesa : Exigencia de US$ 6,6M em BTC Mai 2024 : Microsoft publica análise técnica do Moonstone Sleet Out 2024 : Kaspersky revela zero-day Chrome no site DeTankZone Mar 2025 : Moonstone Sleet adota Qilin ransomware (RaaS) ``` ## TTPs Principais | Tática | Técnica | Detalhe | |--------|---------|---------| | Acesso Inicial | [[T1566.002-spearphishing-link\|T1566.002]] | Link para download do jogo via mensagens diretas | | Execução | [[T1204.002-user-execution-malicious-file\|T1204.002]] | Lancamento do executavel do jogo pelo usuario | | Loader | DLL side-loading | YouieLoad carregado junto com `delfi-tank-unity.exe` | | Coleta de Credenciais | LSASS dumping | npm malicioso extrai credenciais LSASS | | Persistência | Servicos maliciosos | YouieLoad cria servicos que persistem | | Impacto | [[T1486-data-encrypted-for-impact\|T1486]] | FakePenny encripta dados - US$ 6,6M exigidos | | C2 | HTTP/HTTPS | Beacons periodicos para infraestrutura controlada | ## Vitimas e Alvos - **Empresa de tecnologia de defesa (nao nomeada)**: Comprometida em fevereiro de 2024 via DeTankWar; ransomwared em abril de 2024 com FakePenny - **Empresa de tecnologia de drones** (nao nomeada): Comprometida em abril de 2024 - **Empresa de fabricacao de pecas de aeronaves** (nao nomeada): Comprometida em maio de 2024 - **Setores**: Software e TI, educação, base industrial de defesa (DIB) - **Escala**: Mais de 1.000 organizacoes contactadas por empresas falsas do grupo ## Relevância LATAM O Moonstone Sleet atua globalmente e, embora os alvos documentados estejam concentrados nos EUA e Coreia do Sul, o modelo de ataque via jogos blockchain e engenharia social em plataformas como LinkedIn e Telegram e diretamente aplicavel ao contexto brasileiro. O setor de [[technology|tecnologia]] no Brasil - especialmente empresas de gaming, DeFi e defesa - deve estar ciente que grupos norte-coreanos utilizam oportunidades de colaboracao como vetor de comprometimento. O [[g0032-lazarus-group]] e subgrupos já mapearam alvos latino-americanos em campanhas de criptomoedas anteriores. ## Mitigação - Nao executar arquivos `.exe` ou `.dll` recebidos como parte de "testes de emprego" ou "colaboracoes" - Implementar controles de aplicação (application allowlisting) para bloquear executaveis nao autorizados - Monitorar carregamento de DLLs incomuns em processos de jogos ou aplicações de terceiros - Verificar a legitimidade de empresas que buscam colaboracao via LinkedIn antes de qualquer interação técnica - Isolar ambientes para testes de software de terceiros - Manter patches de navegador atualizados (zero-day Chrome explorado em site do jogo) ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/) Microsoft Security Blog - Moonstone Sleet Emerges (2024) - [2](https://thehackernews.com/2024/05/microsoft-uncovers-moonstone-sleet-new.html) The Hacker News - Microsoft Uncovers Moonstone Sleet (2024) - [3](https://blog.polyswarm.io/new-north-korean-threat-actor-group-moonstone-sleet) PolySwarm - Moonstone Sleet Analysis (2024) - [4](https://securityaffairs.com/175178/apt/north-korea-linked-apt-moonstone-used-qilin-ransomware.html) Security Affairs - Moonstone Sleet usa Qilin (2025) - [5](https://www.mitrade.com/insights/news/live-news/article-3-428093-20241024) Mitrade - Lazarus Group Zero-Day Chrome via DeTankZone (2024)