# Juicy Mix ## Descrição Juicy Mix (MITRE C0044) foi uma campanha de ciberespionagem conduzida pelo grupo iraniano [[g0049-oilrig|OilRig]] (APT34) ao longo de 2022, com foco exclusivo em organizações israelenses. A campanha foi documentada pela Check Point Research e representa uma das operações mais direcionadas do OilRig contra Israel em um contexto de tensão geopolítica crescente entre Irã e Israel. O malware central da campanha foi o [[s1169-mango|Mango]], um backdoor customizado desenvolvido específicamente para esta operação, com capacidades de descoberta de sistema, coleta de credenciais e comunicação C2 via protocolos web padrão. O arsenal técnico da Juicy Mix reflete o perfil do OilRig: uso intensivo de PowerShell ([[t1059-001-powershell|T1059.001]]) e Visual Basic ([[t1059-005-visual-basic|T1059.005]]) para execução e persistência via tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]). A coleta de credenciais foi abrangente: browsers ([[t1555-003-credentials-from-web-browsers|T1555.003]]), Windows Credential Manager ([[t1555-004-windows-credential-manager|T1555.004]]) e staging local de dados ([[t1074-001-local-data-staging|T1074.001]]) antes da exfiltração via HTTP/HTTPS ([[t1071-001-web-protocols|T1071.001]]) com encoding padrão ([[t1132-001-standard-encoding|T1132.001]]). As técnicas de descoberta incluíram browser information discovery ([[t1217-browser-information-discovery|T1217]]), software discovery ([[t1518-software-discovery|T1518]]) e informações do sistema ([[t1082-system-information-discovery|T1082]]). A Juicy Mix é representativa do modelo operacional do OilRig: campanhas de espionagem altamente focadas em alvos de interesse estratégico para o Irã, com malware customizado por campanha, aproveitamento de infraestrutura de servidor comprometido ([[t1584-004-server|T1584.004]]) e exfiltração gradual de inteligência sobre alvos israelenses nos setores governamental, de saúde e tecnologia. O OilRig é um dos grupos APT mais prolíficos do Oriente Médio, com histórico documentado desde 2014. ## Impacto | Métrica | Detalhe | |---------|---------| | Período | 2022 (campanha anual) | | Ator | OilRig / APT34 (nexo Irã/MOIS) | | Alvos | Organizações israelenses - governo, saúde, tecnologia | | Malware | Mango (backdoor customizado para a campanha) | | Coleta | Credenciais de browsers, Windows Credential Manager, dados do sistema | | Motivação | Espionagem estratégica focada em Israel | ## Relevância LATAM/Brasil O impacto direto no Brasil e América Latina é **baixo** - a Juicy Mix foi uma campanha com foco exclusivo em alvos israelenses no contexto do conflito cibernético Irã-Israel. Contudo, a campanha é relevante como referência do modus operandi do [[g0049-oilrig|OilRig]], grupo que tem expandido operações globalmente e pode eventualmente direcionar alvos em outras regiões de interesse estratégico iraniano. O Brasil possui relações diplomáticas e econômicas com o Irã, o que pode criar contexto para operações de espionagem. Além disso, as técnicas de coleta de credenciais via browsers e Credential Manager documentadas na Juicy Mix são amplamente utilizadas por múltiplos grupos de ameaça contra alvos brasileiros. ## Atores Envolvidos - [[g0049-oilrig|OilRig]] ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1217-browser-information-discovery|T1217 - Browser Information Discovery]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1555-004-windows-credential-manager|T1555.004 - Windows Credential Manager]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1584-004-server|T1584.004 - Server]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] ## Software Utilizado - [[s1169-mango|Mango]] --- *Fonte: [MITRE ATT&CK - C0044](https://attack.mitre.org/campaigns/C0044)*