# Operation Pawn Storm > [!info] Campanha Ativa - APT28 / GRU Unit 26165 > **Operation Pawn Storm** e o nome coletivo para as operações de espionagem cibernetica conduzidas pelo [[g0007-apt28|APT28 / Fancy Bear]] (GRU Unit 26165) com foco em infraestrutura de logistica, defesa e suporte a Ucrania. A campanha esta ativa desde fevereiro de 2022 e foi formalmente divulgada em advisory conjunto de 11 nacoes em maio de 2025. O objetivo declarado e coletar inteligência sobre coordenacao e entrega de ajuda militar e humanitaria a Ucrania. ## Visão Geral **Operation Pawn Storm** designa a campanha de longa duracao do [[g0007-apt28|APT28]] (também rastreado como Fancy Bear, STRONTIUM, Forest Blizzard, Sofacy, Sednit e BlueDelta) contra organizacoes de logistica, defesa e tecnologia que apoiam a Ucrania. O ator e atribuido com alta confiança ao GRU - Servico de Inteligência Militar russo, específicamente a Unidade 26165 do 85th Main Special Service Center (GTsSS). A campanha foi documentada em advisory conjunto emitido em maio de 2025 por 11 nacoes aliadas e 21 agencias de inteligência, incluindo CISA, NCSC-UK, BfV (Alemanha) e homologos europeus (CISA Advisory AA25-141A). O [[g0007-apt28|APT28]] tem como alvo empresas de logistica aereo, maritimo e ferroviario em paises da OTAN e Ucrania, buscando mapear o fluxo fisico de recursos militares. Uma dimensao operacional notavel: o grupo acessou cameras de trafico municipais e sistemas de vigilancia privada proximos a pontos estratégicos (fronteiras, bases militares, terminais ferroviarios) para monitorar movimentação fisica de equipamentos. Paralelo a campanha de logistica, o [[g0007-apt28|APT28]] conduziu operações de credential harvesting em 2024-2025 contra organizacoes na Turquia (energia e nuclear), Europa, Macedonia do Norte e Uzbequistao - usando paginas de phishing que imitam portais Outlook, Google e Sophos VPN, com infraestrutura de hosting gratuito (InfinityFree, Byet Internet) e tunel ngrok para exfiltração. ```mermaid gantt title Operation Pawn Storm - APT28 Linha do Tempo dateFormat YYYY-MM section Inicio Campanha febr. 2022 - foco Ucrania :2022-02, 2022-12 section Expansao Targeting logistica OTAN :2023-01, 2024-06 Credential harvesting Turquia/Europa :2024-06, 2025-09 section Divulgacao Advisory conjunto 11 nacoes (AA25-141A) :milestone, 2025-05, 0d Campanha continua ativa :2025-05, 2026-04 ``` ## Attack Flow ```mermaid graph TB A["🎯 Reconhecimento<br/>Varredura de vulnerabilidades<br/>+ OSINT em alvos logistica"] --> B["🪝 Acesso Inicial<br/>Spearphishing + Password Spraying<br/>vs servicos publicos"] B --> C["💥 Execução<br/>PowerShell + credenciais<br/>comprometidas"] C --> D["🔐 Persistência<br/>Delegacao de caixa de email<br/>Exchange + token theft"] D --> E["🔎 Reconhecimento Interno<br/>Mapeamento de contatos<br/>logistica + rotas"] E --> F["↔️ Movimentação Lateral<br/>RDP + SMB admin shares<br/>com credenciais válidas"] F --> G["🎥 Coleta de Dados<br/>Emails + docs de logistica<br/>+ acesso a cameras"] G --> H["📤 Exfiltração<br/>Web services + ngrok<br/>tunneling + webhook sites"] ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2022-02 | APT28 inicia campanhas de espionagem contra suporte militar a Ucrania | | 2022-11 | Campanha APT28 Nearest Neighbor - CVE-2022-38028 explorado contra alvos Ukraine | | 2023-01 | Expansao para empresas de logistica ferroviaria, maritima e aerea em paises OTAN | | 2024-06 | Novas campanhas de credential harvesting - UKR-net, organizacoes turcas | | 2025-02 | Campanhas contra organizacoes de energia e nuclear na Turquia | | 2025-05-21 | CISA e 10 aliados públicam advisory conjunto AA25-141A | | 2025-09 | Campanhas ativas contra organizacoes da Macedonia do Norte e Uzbequistao | | 2026-03 | Campanha continua ativa - sem sinais de encerramento | ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Reconnaissance | Vulnerability Scanning | [[t1595-002-vulnerability-scanning\|T1595.002]] | Varredura em larga escala de servicos públicos | | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Anexos Office/RAR com lures diplomaticos | | Initial Access | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links para paginas de coleta de credenciais | | Initial Access | Password Spraying | [[t1110-003-password-spraying\|T1110.003]] | ~4 tentativas/hora por conta, via Kubernetes cluster | | Credential Access | Adversary-in-the-Middle | [[t1557-adversary-in-the-middle\|T1557]] | Intercept de OAuth tokens via Evil Twin Wi-Fi | | Persistence | Additional Email Delegaté Permissions | [[t1098-002-additional-email-delegate-permissions\|T1098.002]] | Abuso de permissoes Exchange para acesso persistente | | Lateral Movement | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Movimentação lateral com credenciais comprometidas | | Lateral Movement | SMB/Windows Admin Shares | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | Compartilhamentos administrativos com credenciais válidas | | Collection | Local Data Staging | [[t1074-001-local-data-staging\|T1074.001]] | Dados de logistica e comúnicacoes encenados localmente | | Exfiltration | Exfiltration Over Web Service | [[t1567-exfiltration-over-web-service\|T1567]] | ngrok, Webhook.site, servicos de hosting gratuito | ## Alvos e Impacto **Setores alvejados:** - [[government]] - governos e forcas armadas de paises OTAN apoiadores da Ucrania - [[defense]] - base industrial de defesa e contratantes militares - Logistica - empresas de transporte aereo, maritimo e ferroviario - [[technology]] - provedores de TI que suportam operações logisticas **Paises com impacto confirmado:** - Alemanha, Polônia, França - logistica ferroviaria de suporte a Ucrania - EUA - agencias governamentais e contratantes de defesa - Turquia - setor de energia e nuclear (2024-2025) - Macedonia do Norte, Uzbequistao - organizacoes governamentais (2025) **Dimensao fisica:** Acesso a cameras de vigilancia em fronteiras, bases militares e terminais ferroviarios para monitorar movimentação de equipamentos - capacidade de espionagem hibrida (cyber + OSINT fisico). ## Relevância LATAM/Brasil O impacto direto no Brasil e América Latina e **baixo** - os alvos confirmados concentram-se na OTAN e na Ucrania. Contudo, a campanha e relevante para o contexto brasileiro por tres razoes: (1) organizacoes brasileiras que participam de contratos com paises OTAN ou que fornecem logistica para operações internacionais podem ser alvos secundarios; (2) as TTPs de password spraying e credential harvesting via phishing de portais corporativos (Outlook, VPN) sao universais e aplicaveis a qualquer organização; (3) a dimensao de acesso a cameras de vigilancia demonstra que o [[g0007-apt28|APT28]] combina espionagem cibernetica com OSINT fisico - modelo relevante para avaliar ameaças a infraestrutura critica brasileira. ## Mitigação - Implementar MFA resistente a phishing (FIDO2) em todos os portais corporativos expostos - Monitorar tentativas de password spraying com threshold de bloqueio progressivo - Auditar permissoes de delegacao de caixa de email Exchange regularmente - Verificar integracoes OAuth e tokens de acesso em ambientes hibridos Azure/M365 - Monitorar uso de ngrok, Webhook.site e servicos de tunel similares em egress de rede - Seguir recomendações do CISA Advisory AA25-141A para organizacoes em setores de logistica e defesa ## Referências - [CISA Advisory AA25-141A - APT28 Campaign Targeting Logistics](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-141a) (2025-05-21) - [MITRE ATT&CK - APT28 G0007](https://attack.mitre.org/groups/G0007/) - [Threat Intelligence Report - APT28 Profile](https://www.threatintelreport.com/2026/02/20/threat_actor_profiles/threat-actor-profile-apt28/) (2026-02-20) - [Security Affairs - APT28 credential harvesting Turquia/Europa](https://securityaffairs.com/186801/apt/credential-harvesting-attacks-by-apt28-hit-turkish-european-and-central-asian-organizations.html)