emmenhtal-campaign

# Emmenhtal Campaign > [!info] Visão Geral > A **campanha Emmenhtal** distribui o loader polimorfrico [[emmenhtal]] (também rastreado pela Mandiant como PEAKLIGHT) como um Malware-as-a-Service (MaaS), com foco inicial em entidades ucranianas e posterior expansao global. O loader distribui principalmente o botnet [[s1025-amadey]] e o infostealer [[lumma-stealer]], alem de [[s0226-smokeloader]] em campanhas direcionadas a Ukraine. O que torna a campanha única e o uso de repositorios GitHub falsos como plataforma de staging de payloads, tornando o trafego C2 dificil de distinguir de atividade legitima de desenvolvimento. ## Visão Geral A campanha Emmenhtal representa a evolução da infraestrutura de acesso inicial no ecossistema de malware-as-a-service (MaaS) em 2024. O [[emmenhtal]] (rastreado pela Mandiant como PEAKLIGHT) é um loader polimórfico distribuído como serviço a múltiplos operadores, com foco inicial em entidades ucranianas e posterior expansão global. O que distingue técnicamente o Emmenhtal é a combinação de execução apenas em memória (fileless) com abuso de repositórios GitHub falsos como plataforma de staging — tornando o tráfego C2 indistinguível de atividade legítima de desenvolvimento de software. O vector de infecção primário envolve lures de phishing ou sites comprometidos com ClearFake/ClickFix que convencem o usuário a executar um script PowerShell ofuscado. Esse script é o PEAKLIGHT stager: opera inteiramente na memória RAM, sem escrever arquivos em disco, dificultando detecção por soluções AV tradicionais. O stager então recupera o Emmenhtal loader de um repositório GitHub controlado pelos atacantes — uma técnica que abusa da confiança que firewalls e proxies corporativos tipicamente conferem ao domínio github.com. O payload final varia por operador: o [[s1025-amadey]] botnet para acesso persistente, o [[lumma-stealer]] para exfiltração de credenciais e carteiras de criptomoedas, ou o [[s0226-smokeloader]] em campanhas direcionadas à Ucrânia. Para o [[financial|setor financeiro]] brasileiro, a combinação Emmenhtal + Lumma Stealer é particularmente preocupante dado o foco do Lumma em carteiras de criptomoedas e sessões de navegador salvas — credenciais de acesso a sistemas bancários corporativos são alvos primários. A capacidade anti-sandbox do Emmenhtal dificulta análise automatizada e gera falsos negativos em gateways de email. ## Attack Flow ```mermaid graph TB A["🎣 Lure Inicial Phishing ou site comprometido via ClearFake/fake CAPTCHA"] --> B["📦 PEAKLIGHT Stager PowerShell ofuscado em memoria sem arquivo em disco"] B --> C["🐙 GitHub Repo Falso Staging de payload em repos criados para ataque"] C --> D["📥 Emmenhtal Loader Loader de segundo estagio com verificação anti-sandbox"] D --> E["🤖 Amadey Botnet Instalado como payload primario para persistence"] E --> F["💰 Lumma Stealer Exfiltra credenciais, wallets crypto, cookies"] F --> G["📡 Comúnicação C2 Telegram API para exfiltração discreta"] ``` **Legenda:** [[emmenhtal]] e distribuido como MaaS - múltiplos operadores usam o loader para distribuir [[s1025-amadey]], [[lumma-stealer]] e [[s0226-smokeloader]]. GitHub falsos: Legendary99999, DFfe9ewf, Milidmdds (já removidos). ## Cronologia | Data | Evento | |------|--------| | Fev 2024 | Primeiras deteccoes do Emmenhtal loader em campanha ukrainiana com SmokeLoader | | Mar 2024 | Google TAG documenta PEAKLIGHT como stager PowerShell em memoria | | Abr 2024 | Mandiant pública análise completa - nomeia o loader como PEAKLIGHT | | Jun 2024 | Expansao global observada - distribuição via fake CAPTCHA (ClearFake) | | Ago 2024 | Amadey botnet identificado como payload primario após Emmenhtal | | Out 2024 | Repositorios GitHub falsos identificados e removidos pelo GitHub | | Ján 2025 | Nova onda de campanhas com Lumma Stealer como payload final | | Mar 2025 | Emmenhtal integrado ao ecossistema ClearFake - alcance ampliado massivamente | ## TTPs Documentadas | Técnica | ID | Descrição | |---------|-----|-----------| | Arquivo/Link Malicioso | [[t1204-001-malicious-link\|T1204.001]] | Usuario clica em link para download do stager inicial | | Arquivos Ofuscados | [[t1027-obfuscated-files-or-information\|T1027]] | PowerShell altamente ofuscado, execução in-memory | | PowerShell | [[t1059-001-powershell\|T1059.001]] | PEAKLIGHT executa como script PS sem tocar disco | | Web Service para C2 | [[t1102-web-service\|T1102]] | GitHub como staging e Telegram API como C2 | | Spear-Phishing com Anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Campanhas ukrainianas com documentos de phishing | ## Vitimas Documentadas - **Entidades ucranianas**: governo, militares e empresas de defesa - campanha inicial com SmokeLoader - **Usuarios globais via ClearFake**: qualquer usuario que visite site comprometido - afeta dezenas de milhares de sistemas - **Usuarios de plataformas de software pirata**: vetor de distribuição via cracks de software - **Setores financeiro e tecnologia**: foco do Lumma Stealer em credenciais bancarias e cripto ## Relevância para LATAM e Brasil 1. **Lumma Stealer afeta usuarios brasileiros**: O infostealer final rouba credenciais de bancos, corretoras cripto e contas Google/Microsoft - afeta usuarios brasileiros que acessam sites comprometidos 2. **Amadey botnet no Brasil**: Infeccoes por [[s1025-amadey]] no Brasil foram reportadas em 2024 - o botnet e usado para distribuição de ransomware como servico (RaaS) regional 3. **GitHub como vetor**: Developers e organizacoes de TI brasileiras que usam GitHub intensivamente sao expostos ao staging malicioso via repositorios falsos 4. **ClearFake no WordPress Brasil**: Milhares de sites WordPress brasileiros foram comprometidos com ClearFake - vecor de entrega do Emmenhtal ```mermaid graph TB subgraph "Ecossistema Emmenhtal MaaS" A["Emmenhtal Loader Plataforma MaaS"] --> B["Amadey Botnet Persistence + Reconhecimento"] A --> C["Lumma Stealer Roubo de Credenciais"] A --> D["SmokeLoader Alvos Ucranianos"] end subgraph "Vetores de Distribuição" E["ClearFake WordPress comprometidos"] --> A F["Phishing Direto Ukraine/governo"] --> A G["Fake CAPTCHA ClickFix"] --> A end ``` ## Mitigação - **Proteção contra execução PowerShell**: Restringir execução de scripts PS em endpoints e habilitar AMSI logging - [[m1040-behavior-prevention-on-endpoint|M1040]] - **Inspecao de trafego HTTPS**: Monitorar conexoes a github.com de processos nao-relacionados a desenvolvimento - **Bloquear Telegram API em ambientes corporativos**: `api.telegram.org` usado para C2 e exfiltração - **DNS Filtering**: Bloquear dominios de distribuição de payloads maliciosos identificados - **Proteção de WordPress**: Manter CMS atualizado para prevenir comprometimento via ClearFake - [[m1051-update-software|M1051]] - **Treinamento sobre fake CAPTCHA**: Conscientizar usuarios sobre execução de comandos solicitados por paginas web - [[m1017-user-training|M1017]] ## Referências - [1](https://blog.google/threat-analysis-group/peaklight-decoding-stealthy-memory-only-malware/) Google TAG - PEAKLIGHT: Decoding Stealthy Memory-Only Malware (2024) - [2](https://www.mandiant.com/resources/blog/peaklight-emmenhtal-loader-analysis) Mandiant - PEAKLIGHT: Analysis of Emmenhtal Loader (2024) - [3](https://thehackernews.com/2024/08/new-peaklight-dropper-deployed-in.html) The Hacker News - PEAKLIGHT Dropper Deployed in Attacks (2024) - [4](https://www.bleepingcomputer.com/news/security/emmenhtal-loader-distributed-via-fake-github-repos/) BleepingComputer - Emmenhtal Loader via Fake GitHub Repos (2024) - [5](https://www.proofpoint.com/us/blog/threat-insight/clearfake-leverages-clickfix-deliver-emmenhtal) Proofpoint - ClearFake Leverages ClickFix to Deliver Emmenhtal (2024)