hpreact-campaign - RunkIntel

# HpReact Campaign > [!info] Visão Geral - Alta Relevância LATAM > A **campanha HpReact** e uma operação de espionagem regional conduzida pelo grupo [[g0095-machete]] (APT-C-43) contra as Forcas Armadas da Venezuela entre 2019 e 2020. Nomeada pela empresa chinesa 360 Security após o nome do malware encontrado, a campanha usou spear-phishing com documentos militares isca para distribuir o backdoor Python [[pyark]] (variante moderna do malware "Machete"). Os operadores do [[g0095-machete]] sao de lingua espanhola e baseados provavelmente na Colombia, tornando esta uma das poucas campanhas APT com origem provavel na América Latina. ## Visão Geral A campanha HpReact é um dos casos mais relevantes de espionagem cibernética com origem provável na América Latina, conduzida pelo grupo [[g0095-machete]] (APT-C-43) contra as Forças Armadas da Venezuela entre 2019 e 2020. Descoberta e nomeada pela empresa chinesa 360 Security pelo nome do componente de malware encontrado, a campanha utilizou spear-phishing altamente contextualizado — documentos isca em espanhol com temas militares e geopolíticos venezuelanos — para distribuir o backdoor Python [[pyark]], uma evolução moderna do malware "Machete" original desenvolvido pelo grupo desde aproximadamente 2010. O [[g0095-machete]] é único na cena APT global por ser um dos pouquíssimos grupos APT com origem provável em um país da América Latina e operando contra outros países da região. Evidências linguísticas — uso de espanhol nativo nos artefatos de malware, familiaridade com terminologia militar venezolana e infraestrutura geolocalizada na Colômbia — sustentam a hipótese de que os operadores são falantes nativos de espanhol da América do Sul, provavelmente vinculados a interesses estratégicos colombianos. Os alvos incluem não apenas Venezuela, mas também Colômbia, Equador e Nicarágua — sugerindo um foco regional em disputas de fronteira e inteligência militar. Para a [[brazil|comunidade de segurança brasileira]], a campanha HpReact tem relevância direta: demonstra que ameaças APT relevantes para o Brasil não provêm exclusivamente de grandes potências como China, Rússia e Irã, mas que grupos regionais com motivações geopolíticas locais existem e operam com sofisticação crescente. O modelo de espionagem do [[g0095-machete]] — spear-phishing em língua local, malware Python relativamente simples mas eficaz — é replicável por outros atores regionais com recursos limitados. O [[government|governo brasileiro]] e as Forças Armadas devem considerar o vetor de espionagem intra-regional em seus modelos de ameaça. ## Attack Flow ```mermaid graph TB A["📧 Spear-Phishing em Espanhol Documentos militares isca temas venezuelanos"] --> B["📎 Documento Word/PDF com macro ou link para download de payload"] B --> C["🐍 PyArk Dropper Executavel Python compilado com PyInstaller"] C --> D["🔒 Persistência Tarefas agendadas ou entrada de registro Run"] D --> E["📸 Coleta de Dados Screenshots, keylogging, arquivos militares"] E --> F["🌐 C2 via FTP/HTTP Infraestrutura baseada na Colombia"] F --> G["📤 Exfiltração Documentos confidenciais das Forcas Armadas"] ``` **Legenda:** [[g0095-machete]] e um grupo de lingua espanhola único na cena APT. [[pyark]] e o backdoor Python que evoluiu do malware original "Machete" de 2010. ## Cronologia | Data | Evento | |------|--------| | 2010-2012 | Primeiras atividades do grupo Machete - alvo: militares venezuela e colombia | | 2014 | Kaspersky e Cylance públicam análises iniciais do malware Machete | | 2019-2020 | Campanha HpReact - visando Forcas Armadas da Venezuela com PyArk | | Mar 2019 | 360 Security nomeia a campanha "HpReact" por artefato encontrado no malware | | Jun 2019 | ESET pública análise de Machete em contexto LATAM - confirma alcance regional | | 2020 | Reducao de atividade - possívelmente motivada por pandemia e mudanças politicas | | 2021-2022 | Grupo detectado com variantes atualizadas em novos alvos na América Central | ## TTPs Documentadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-Phishing com Anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word/PDF em espanhol com temas militares | | Execução de Arquivo Malicioso | [[t1204-002-malicious-file\|T1204.002]] | Vitima abre documento isca que ativa PyArk | | Python | [[t1059-006-python\|T1059.006]] | PyArk e desenvolvido em Python e compilado com PyInstaller | | Protocolo Web para C2 | [[t1071-001-web-protocols\|T1071.001]] | FTP e HTTP para exfiltração e comunicação C2 | | Dados do Sistema Local | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos militares e documentos confidenciais | | Captura de Tela | [[t1113-screen-capture\|T1113]] | Screenshots periodicos do ambiente da vitima | ## Vitimas Documentadas - **Forcas Armadas da Venezuela**: oficiais de alto posto e analistas militares - **Agencias de inteligência venezuelanas**: SEBIN e outras agencias de segurança interna - **Governo da Venezuela**: ministerios com acesso a informações militares - **Secundarios**: alvos no Equador, Nicaragua e Colombia (espionagem cruzada) **Nota**: Esta campanha ocorreu durante período de alta tensao geopolitica entre Colombia e Venezuela. ## Relevância LATAM - Alta Prioridade Esta campanha e de maxima relevância para o contexto brasileiro e latinoamericano: 1. **APT de origem LATAM**: [[g0095-machete]] e um dos poucos grupos APT com operadores de lingua espanhola - potencialmente baseados na Colombia. Isso demonstra que ameaças sofisticadas de espionagem existem DENTRO da regiao 2. **Alvos militares regionais**: A capacidade de espionagem de Forcas Armadas latinoamericanas e real - o Brasil deve assumir que suas Forcas Armadas sao alvo de atores similares 3. **Espanhol como lingua operacional**: O grupo produz documentos isca em espanhol perfeito - indicando operadores nativos da regiao 4. **Infraestrutura colombiana**: Servidores C2 identificados na Colombia - proximos geograficamente ao Brasil ```mermaid graph TB subgraph "Operacoes Machete na LATAM" A["Colombia (provavel origem)"] --> B["Venezuela (HpReact 2019-2020)"] A --> C["Equador (alvo secundario)"] A --> D["Nicaragua (alvo secundario)"] end subgraph "Implicacoes para Brasil" E["Ameaças APT regionais em espanhol"] --> F["Alvos militares latinoamericanos"] F --> G["Brasil como proximo alvo potencial"] end ``` ## Mitigação - **Conscientizacao sobre spear-phishing em espanhol**: Militares e diplomaticos brasileiros que interagem com paises vizinhos devem ter treinamento específico - [[m1017-user-training|M1017]] - **Controle de macros em documentos**: Desabilitar macros VBA em ambientes militares e de inteligência - [[m1040-behavior-prevention-on-endpoint|M1040]] - **Monitoramento de Python em endpoints**: Execução de scripts Python ou executaveis PyInstaller em sistemas nao-desenvolvimento deve gerar alerta - **Análise de trafego FTP**: Bloquear FTP sainte de sistemas militares - protocolo obsoleto e vetor C2 do PyArk - [[m1031-network-intrusion-prevention|M1031]] - **Inteligência de ameaças regional**: Brasil deve monitorar atividade do grupo Machete via CERT.br e parcerias com CTIR Gov ## Referências - [1](https://www.welivesecurity.com/en/eset-research/machete-just-got-sharper-venezuelan-government-institutions-targeted/) ESET WeLiveSecurity - Machete Just Got Sharper: Venezuela Campaign (2019) - [2](https://attack.mitre.org/groups/G0095/) MITRE ATT&CK - Machete Group Profile (G0095) - [3](https://www.kaspersky.com/about/press-releases/2014_operation-machete-south-american-cyber-espionage-exposed) Kaspersky - Operation Machete: South Américan Cyber Espionage (2014) - [4](https://www.cylance.com/en_us/blog/el-machete.html) Cylance - El Machete: Latin Américan Cyber Espionage (2014) - [5](https://securelist.com/machete-apt/84681/) Kaspersky Securelist - Machete APT Activity in Latin América (2019)