# Operation Pawn Storm > [!high] Campanha de espionagem global do GRU russo — ativa desde 2007 > **Operation Pawn Storm** (também conhecida como Sofacy) é uma das campanhas de ciberespionagem mais longevas e abrangentes documentadas, atribuída ao [[g0007-apt28|APT28]] (Fancy Bear/GRU). O nome "Pawn Storm" foi cunhado pela Trend Micro em 2014 em referência ao ataque de xadrez onde peões são sacrificados em ondas para abrir caminho para peças maiores — uma analogia para a técnica do grupo de usar múltiplos vetores simultâneos para comprometer alvos de alto valor em governos, militares e organizações de defesa. ## Visão Geral A Operation Pawn Storm é o nome dado pela Trend Micro ao conjunto mais amplo de operações conduzidas pelo [[g0007-apt28|APT28]] (GRU, inteligência militar russa) desde pelo menos 2007. O grupo é rastreado como **Fancy Bear** (CrowdStrike), **STRONTIUM** (Microsoft), **Sofacy** (Kaspersky) e **Pawn Storm** (Trend Micro) — diferentes nomes para a mesma infraestrutura e operadores. A campanha tem como foco primário espionagem estratégica contra governos da OTAN, infraestrutura militar, organizações políticas e jornalistas críticos ao Kremlin. O escopo da Pawn Storm é extraordinário em abrangência e longevidade: ao longo de quase duas décadas, o grupo comprometeu organizações em dezenas de países utilizando uma combinação de spearphishing sofisticado, exploits de zero-day, credential harvesting via OAuth falso e implantes customizados como [[s0093-xagent|X-Agent]] (multiplataforma: Windows, Linux, iOS, Android) e [[s0131-zebrocy|Zebrocy]]. A Trend Micro mantém um blog dedicado documentando novas campanhas da Pawn Storm que são públicadas com frequência mensal. Para o Brasil, embora não seja um alvo primário da Pawn Storm, o caso é relevante como modelo de referência para proteção de infraestrutura eleitoral e governamental. O [[g0007-apt28|APT28]] demonstrou capacidade de comprometer sistemas eleitorais nos EUA ([[operation-grizzly-steppe|Operation Grizzly Steppe]], 2016) e na França (macron leaks, 2017), estabelecendo um padrão que pode ser replicado contra democracias na América Latina. A [[operation-grizzly-steppe|interferência eleitoral americana de 2016]] foi uma sub-operação da Pawn Storm. > [!latam] Relevância para América Latina > Embora a Pawn Storm não targete diretamente o Brasil, o modelo operacional do APT28 — comprometer infraestrutura eleitoral, vazar emails de candidatos, operações de influência coordenadas — é o padrão de referência para avaliar riscos para eleições presidenciais brasileiras. O Tribunal Superior Eleitoral (TSE) e partidos políticos devem usar a Pawn Storm como caso de estudo para threat modeling de segurança eleitoral. ## Attack Flow ```mermaid flowchart TD A["🎯 Reconhecimento<br/>OSINT, redes sociais, LinkedIn"] --> B["📧 Spearphishing<br/>Credenciais ou anexo malicioso"] B --> C1["🔗 Phishing de Credenciais<br/>Domínio typosquatted<br/>Fake OAuth / Fake webmail"] B --> C2["📎 Anexo Malicioso<br/>CVE de Office/Browser<br/>Macros VBA ou LNK"] C1 --> D["🔑 Credenciais Capturadas<br/>Email, VPN, SSO corporativo"] C2 --> E["💉 X-Agent / Zebrocy<br/>Implante no endpoint"] D --> F["📬 Acesso a Email<br/>Coleta e exfiltração silenciosa"] E --> G["🏠 Persistência<br/>Scheduled task, Registry, COM hijack"] G --> H["🔍 Discovery e Movimento Lateral<br/>Mapeamento da rede interna"] H --> I["📤 Exfiltração<br/>Dados comprimidos via HTTPS"] F --> J["🌐 Operação de Influência<br/>Seleção e vazamento de dados"] I --> J ``` ## TTPs Utilizadas | Tática | Técnica | ID | Observação na Campanha | |--------|---------|-----|------------------------| | Reconnaissance | Gather Victim Org Information | [[t1591-gather-victim-org-information\|T1591]] | Perfilamento via OSINT antes do contato | | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office com exploits (CVE-2017-0199, CVE-2014-1761) | | Initial Access | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links para páginas de credential harvesting | | Execution | Exploitation for Client Execution | [[t1203-exploitation-for-client-execution\|T1203]] | Zero-days em Office, Flash, Java | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais roubadas reusadas para acesso legítimo | | Collection | Email Collection | [[t1114-email-collection\|T1114]] | Acesso a caixas de email de alvos comprometidos | | Collection | Archive Collected Data | [[t1560-archive-collected-data\|T1560]] | Dados exfiltrados em arquivos comprimidos | | Command and Control | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTPS, misturando com tráfego legítimo | | Exfiltration | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração encriptada pelo canal C2 | ## Linha do Tempo — Marcos Principais | Data | Evento | |------|--------| | 2007 | Início documentado das operações APT28/Pawn Storm | | 2014 | Trend Micro cunha o nome "Operation Pawn Storm"; primeiras análises públicas detalhadas | | 2014-2015 | Comprometimento de sistemas da OTAN, Ministério de Defesa alemão, governo polonês | | 2015 | Comprometimento do Bundestag alemão — 16GB de dados exfiltrados | | 2015 | Comprometimento da TV5Monde francesa — emissora tirada do ar | | 2015-2016 | Operation Grizzly Steppe: comprometimento do DNC, DCCC e conta de John Podesta | | 2016 | Tentativa de comprometimento do Comitê Nacional Repúblicano (CRN) — menos bem-sucedida | | 2017 | Macron Leaks: e-mails da campanha de Emmanuel Macron vazados durante eleições francesas | | 2018 | Comprometimento do WADA (World Anti-Doping Agency); vazamento de dados médicos de atletas | | 2018 | Atribuição formal à Unidade 26165 e 74455 do GRU por EUA, UK, EU | | 2019-2020 | Campanhas contra think-tanks e grupos de política externa nos EUA e Europa | | 2022 | Intensificação de operações contra Ucrânia após invasão russa; múltiplos governos da OTAN alvo | | 2023-2026 | Campanha contínua; Trend Micro documenta novos vetores mensalmente | ## Malware e Ferramentas - [[s0093-xagent|X-Agent]] (Sofacy/Sednit) — implante multiplataforma (Windows, macOS, Linux, iOS, Android); keylogging, captura de tela, transferência de arquivos, shell remoto - [[s0131-zebrocy|Zebrocy]] — downloader/backdoor modular; múltiplas variantes em Delphi, AutoIt, Go, Python; reconnaissance inicial - [[s0074-sednit|Sednit]] — framework C2 do grupo, utilizado em múltiplas campanhas - **X-Tunnel** — ferramenta de tunneling para comunicação encriptada C2 - **WinIDS** — ferramenta de exfiltração de email - **Fake OAuth apps** — aplicações OAuth maliciosas para harvesting de credenciais sem necessidade de senha (abusando Google, Microsoft, Yahoo OAuth flows) ## Defesa e Detecção - Monitorar tentativas de autenticação OAuth de aplicações não reconhecidas - Implementar MFA resistente a phishing (chaves de segurança FIDO2) em vez de OTP via SMS - Verificar registros de domínios typosquatted de organizações relevantes - Treinar equipes para reconhecer spearphishing sofisticado com contexto legítimo - Detectar acesso incomum a caixas de email (horário, localização, volume) - Monitorar processos filhos de aplicações Office (PowerShell, cmd.exe iniciados por WINWORD.EXE) ## Referências - [1](https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-pawn-storm-fast-facts) Trend Micro — Operation Pawn Storm: Fast Facts - [2](https://documents.trendmicro.com/assets/wp/wp-operation-pawn-storm.pdf) Trend Micro — Operation Pawn Storm: Using Decoys to Evade Detection (2014) - [3](https://attack.mitre.org/groups/G0007/) MITRE ATT&CK — APT28 (G0007) - [4](https://www.trendmicro.com/en_us/research/pawn-storm.html) Trend Micro — Pawn Storm Research Hub (atualizações regulares) - [5](https://www.ncsc.gov.uk/news/advisory-apt28-implicated-in-global-campaign) NCSC UK — APT28 Global Campaign Advisory