operation-powerton

# Operation PowerTon > [!high] Backdoor PowerShell persistente do APT35 contra alvos governamentais e acadêmicos > A **Operation PowerTon** envolve o uso pelo grupo iraniano [[g0059-apt35]] (Charming Kitten/Phosphorus) do backdoor [[powerton]] — um implante baseado em PowerShell com comunicação C2 via serviços legítimos da Microsoft (Exchange, OneDrive). Documentado pela FireEye/Mandiant em 2019, o PowerTon foi usado em operações de espionagem persistente contra alvos governamentais americanos, think-tanks de política do Oriente Médio e universidades com pesquisas de interesse estratégico para o Irã. ## Visão Geral O [[powerton]] é um backdoor PowerShell desenvolvido pelo [[g0059-apt35]] que se destaca por seu mecanismo de comunicação C2: ao invés de usar domínios de infraestrutura própria (facilmente bloqueáveis), o PowerTon se comúnica via serviços legítimos da Microsoft — especialmente Exchange Online e OneDrive — tornando o tráfego malicioso indistinguível de atividade corporativa normal em ambientes que usam o ecossistema Microsoft 365. A escolha de PowerShell como linguagem do backdoor é deliberada: o PowerShell é uma ferramenta de administração legítima presente em todos os sistemas Windows modernos, e muitas organizações têm dificuldade em distinguir uso legítimo de uso malicioso. O PowerTon também abusa do Windows Task Scheduler e de chaves Run do registro para persistência — técnicas benignas por si só, mas combinadas criam um implante resistente que sobrevive a reinicializações sem escrita de binários suspeitos em disco. Para o [[government|setor governamental]] e organizações de [[academia|pesquisa]] brasileiras com vínculos com o Oriente Médio ou políticas iranianas, o APT35 é um ator relevante dado o histórico extenso de operações contra think-tanks e acadêmicos. O padrão de seleção de alvos do grupo inclui pesquisadores com acesso a informações sobre políticas de sanções, acordos nucleares e dissidência iraniana — contextos que podem ser relevantes para organizações brasileiras de política externa e relações internacionais. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos via email | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Backdoor PowerTon inteiramente em PowerShell | | Web Service Abuse | [[t1102-web-service\|T1102]] | C2 via Exchange Online e OneDrive Microsoft | | Registry Run Keys | [[t1547-001-registry-run-keys\|T1547.001]] | Persistência via registro Windows | ## Referências - [1](https://www.mandiant.com/resources/blog/apt35-operations-since-2014) Mandiant - APT35: Operations and Targets (2019) - [2](https://attack.mitre.org/groups/G0059/) MITRE ATT&CK - APT35 (G0059) - [3](https://www.microsoft.com/security/blog/2019/03/22/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-deception-tactics/) Microsoft - APT35/Phosphorus Analysis (2019)