# Operation Saffron Rose > [!high] Campanha iraniana contra a indústria de defesa americana e dissidentes iranianos > A **Operation Saffron Rose** foi documentada pela FireEye em 2014 como uma campanha de espionagem conduzida pelo grupo iraniano [[g0130-ajax-security-team]] (Flying Kitten/AjaxTM). O grupo utilizou sites de phishing e spear-phishing para atacar simultaneamente funcionários da indústria de defesa e aeroespacial dos EUA e dissidentes e ativistas iranianos — demonstrando a dualidade da atuação de grupos APT iranianos: espionagem industrial externa e vigilância interna. ## Visão Geral A Operation Saffron Rose é um exemplo característico da postura dupla dos grupos APT com nexo iraniano: ao mesmo tempo que conduzem espionagem industrial e militar contra adversários externos (especialmente os EUA e Israel), monitoram a comunidade de dissidentes iranianos no exterior para o regime. O [[g0130-ajax-security-team]] operava sites de phishing convincentes — imitando portais de VPN corporativos, plataformas de email e ferramentas de acesso remoto —, enganando tanto funcionários de empresas de defesa americanas quanto expatriados iranianos que usavam serviços de VPN para contornar a censura. As ferramentas desenvolvidas pelo grupo — incluindo o stealer de credenciais denominado Stealer.One pela FireEye — capturavam senhas de browsers, clientes FTP, clientes de email e dados de sistema. Para os alvos no setor de defesa americano, o objetivo era roubo de propriedade intelectual militar e industrial. Para os dissidentes iranianos, o objetivo era identificação para vigilância e possível repressão — um padrão que o regime iraniano repetiu em múltiplas outras operações. A campanha foi pioneira em demonstrar que países com capacidade cibernética intermediária (não superpotências como China/Rússia) podiam conduzir operações duais eficazes com recursos relativamente limitados. Para o Brasil, especialmente para a comunidade da diáspora iraniana e para empresas brasileiras com contratos de defesa ou aeroespaciais, a Operation Saffron Rose exemplifica o padrão de comportamento do [[g0130-ajax-security-team]] e de grupos iranianos similares. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Lures personalizados para alvos de defesa | | Credential Phishing | [[t1598-phishing-for-information\|T1598]] | Sites falsos de VPN e email para captura de credenciais | | Screen Capture | [[t1113-screen-capture\|T1113]] | Captura de tela periódica nos sistemas comprometidos | | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos e documentos locais | ## Referências - [1](https://www.mandiant.com/resources/blog/operation-saffron-rose) Mandiant/FireEye - Operation Saffron Rose (2014) - [2](https://attack.mitre.org/groups/G0130/) MITRE ATT&CK - Ajax Security Team (G0130) - [3](https://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/140/operation-saffron-rose) Trend Micro - Operation Saffron Rose (2014)