operation-shaheen - RunkIntel

# Operation Shaheen > [!warning] Campanha de Espionagem Militar - Força Aérea do Paquistão > **Operation Shaheen** foi uma campanha de espionagem cibernética altamente sofisticada conduzida pelo grupo **The White Company** contra membros da Força Aérea do Paquistão entre novembro de 2017 e fevereiro de 2018. A operação é notável pela evasão deliberada e seletiva de produtos antivírus específicos e por técnicas de empacotamento em 5 camadas que dificultaram significativamente a atribuição. ## Visão Geral A Operation Shaheen foi descoberta e documentada pela Cylance em novembro de 2018, após investigação de aproximadamente um ano. A campanha teve como alvo exclusivo membros e afiliados da Força Aérea do Paquistão (Pakistan Air Force - PAF), utilizando spear-phishing temático com documentos sobre aviação militar e assuntos de interesse para o setor aeroespacial paquistanês. O ator responsável foi designado como [[g0089-the-white-company]] - um grupo de atribuição desconhecida que a comunidade de segurança não conseguiu vincular a nenhum estado-nação específico. Todos os principais candidatos com capacidades cibernéticas foram considerados: China, Estados Unidos, Israel, Índia, Irã, Rússia e o próprio Paquistão. A ausência de artefatos culturais identificáveis e a sofisticação técnica sugerem um ator patrocinado por estado com recursos substanciais e disciplina operacional elevada. A campanha operou em duas fases distintas. A **Fase 1** usou RATs simples como [[s0385-njrat]] e [[s0198-netwire]] entregues via domínios de organizações paquistanesas comprometidas, explorando vulnerabilidades antigas do Microsoft Office como o [[cve-2017-11882|CVE-2017-11882]]. A **Fase 2** foi significativamente mais sofisticada: utilizou um zero-day do Microsoft Word com empacotamento em 5 camadas que implementava evasão seletiva de antivírus - o malware identificava quais produtos de AV estavam instalados e deliberadamente se rendia a alguns (como Sophos, ESET, Kaspersky) enquanto evadia outros como distração operacional. O aspecto mais incomum da Operation Shaheen foi justamente essa evasão direcionada e seletiva: o malware foi projetado para falhar propositalmente na detecção de produtos AV específicos como mecanismo de distração, uma técnica raramente documentada até então e que demonstrava profundo conhecimento das métodologias de resposta a incidentes dos alvos. A campanha conseguiu evadir com sucesso Sophos, ESET, Kaspersky, BitDefender, Avira, Avast, AVG e QuickHeal em diferentes configurações de ambiente. ## Attack Flow ```mermaid graph TB A["Reconhecimento Identificação de alvos Força Aérea Paquistão"] --> B["Comprometimento de Infra Domínios de organizações paquistanesas legítimas"] B --> C["Spear-phishing Documentos Word com tema aviação e defesa aérea"] C --> D["Fase 1 - Exploit Simples CVE-2017-11882 entrega de njRAT/NetWire"] C --> E["Fase 2 - Zero-day Word 5 camadas de empacotamento evasão seletiva de AV"] E --> F["Execução de RAT Process injection Persistência e C2"] F --> G["Espionagem Militar Dados da Força Aérea capacidades e operações"] ``` > **Ator:** The White Company | **Alvo:** Pakistan Air Force | **Período:** nov 2017 - fev 2018 ## Linha do Tempo ```mermaid timeline title Operation Shaheen - Linha do Tempo 2017-11 : Fase 1 iniciada - spear-phishing com RATs simples via domínios comprometidos 2017-12 : Expansão - membros da PAF e afiliados como alvos prioritários 2018-01 : Fase 2 - exploit Word com 5 camadas de empacotamento e evasão seletiva de AV 2018-02 : Última atividade confirmada da campanha 2018-11 : Cylance publica análise completa da Operation Shaheen ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing com Anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word temáticos enviados a alvos da PAF | | Obfuscação de Arquivos | [[t1027-obfuscated-files-or-information\|T1027]] | Empacotamento em 5 camadas para evitar análise e detecção | | Exploração para Execução | [[t1203-exploitation-for-client-execution\|T1203]] | CVE-2017-11882 e zero-day do Microsoft Word explorados | | Injeção de Processo | [[t1055-process-injection\|T1055]] | Payload injetado em processos legítimos do Windows | | Evasão de Sandbox/Virtualização | [[t1497-virtualization-sandbox-evasion\|T1497]] | Detecção de ambiente de análise e comportamento alterado | ## Vítimas e Impacto **Alvos confirmados:** - Membros ativos e ex-membros da Força Aérea do Paquistão - Funcionários civis vinculados à base industrial aeroespacial paquistanesa - Organizações de suporte e logística afiliadas à PAF **Dados potencialmente comprometidos:** - Comúnicações internas sobre operações da Força Aérea - Informações sobre capacidades de aeronaves e sistemas de armas - Dados pessoais e de contato de pessoal militar - Documentos sobre procurement e contratos de defesa aeroespacial **Impacto operacional:** - Acesso prolongado (pelo menos 3 meses) sem detecção pelos alvos - Comprometimento de infraestrutura de organizações paquistanesas legítimas usadas como relay - Demonstração de capacidade de desenvolvimento de zero-day exclusivo para campanha de alto valor ## Relevância LATAM e Brasil A Operation Shaheen não teve impacto direto no Brasil ou LATAM, mas apresenta lições relevantes para a região: - **Evasão seletiva de AV**: A técnica de identificar e deliberadamente falhar na detecção de produtos de AV específicos como distração é aplicável a qualquer ambiente corporativo. Organizações brasileiras nos setores de [[defense|defesa]], energia e infraestrutura crítica devem assumir que adversários sofisticados conhecem sua postura de segurança - **Atribuição impossível**: A ausência de atribuição definitiva do [[g0089-the-white-company]] demonstra que grupos com disciplina operacional elevada podem operar por anos sem vinculação a um estado. A resposta deve ser baseada em TTPs, não em atribuição - **Defesa aeroespacial brasileira**: O Brasil possui programa aeroespacial robusto (Embraer, Helibras, FAB) que representa alvo de interesse para múltiplos estados. A métodologia de Shaheen é diretamente aplicável a esse setor - **Spear-phishing temático**: Documentos sobre assuntos relevantes ao setor-alvo têm taxa de sucesso significativamente maior. Treinamentos de conscientização no Brasil devem incluir exemplos setoriais específicos para [[government|governo]] e [[defense|defesa]] ## Detecção e Defesa **Controles recomendados:** - Desabilitar macros e objetos OLE em documentos Office por política corporativa via [[m1042-disable-or-remove-feature-or-program|M1042]] - Aplicar [[m1049-antivirus-antimalware|M1049]] com múltiplos engines independentes - diversidade de AV reduz risco de evasão seletiva - Sandbox de documentos com análise comportamental antes da entrega ao usuário final - Implementar [[m1031-network-intrusion-prevention|M1031]] para detectar beaconing de RATs conhecidos como [[s0385-njrat]] e [[s0198-netwire]] **Indicadores comportamentais:** - Documentos Word que executam processos filhos anômalos (cmd.exe, powershell.exe, wscript.exe) - Processos legítimos do Windows iniciando conexões de rede de saída incomuns - Criação de arquivos em paths temporários após abertura de documento Office - Atividade de RAT: comunicação periódica com C2, execução de comandos remotos **Monitorar via:** - [[ds-0009-process|DS-0009]] - Process Creation: processos filhos de aplicações Office - [[ds-0022-file|DS-0022]] - File Creation: arquivos criados em diretórios temporários ## Referências - [1](https://threatvector.cylance.com/en_us/home/cylance-vs-the-white-company.html) Cylance - Operation Shaheen: The White Company (2018) - [2](https://attack.mitre.org/groups/) MITRE ATT&CK - The White Company Group Profile - [3](https://www.welivesecurity.com/2018/11/20/operation-shaheen-cylance/) ESET WeLiveSecurity - Operation Shaheen Coverage (2018) - [4](https://www.darkreading.com/threat-intelligence/cylance-exposes-operation-shaheen-pakistan-air-force-campaign) Dark Reading - Cylance Exposes Operation Shaheen (2018)