operation-spalax - RunkIntel

# Operation Spalax > [!warning] Campanha de espionagem direcionada a Colombia com RATs comerciais e esteganografia > A Operation Spalax (MITRE C0005) e uma campanha de espionagem cibernetica ativa entre novembro de 2019 e janeiro de 2021, direcionada exclusivamente a organizacoes colombianas nos setores de governo, energia e manufatura. Utilizou RATs comerciais como njRAT e Remcos distribuidos via phishing com temas de COVID-19 e bancos colombianos, com payloads ocultos em imagens via esteganografia. ## Visão Geral A **Operation Spalax** foi documentada pelo ESET em fevereiro de 2021 como uma campanha de espionagem altamente direcionada contra a Colombia. A atribuicao permanece sem actor identificado públicamente - o MITRE lista o campo de atores como vazio - embora o targeting exclusivo da Colombia e o uso de iscas tematicas locais (COVID-19, comúnicados bancarios colombianos, documentos governamentais) indiquem um agente com interesse específico no pais, possívelmente relacionado a disputas politicas internas ou competidores regionais. A cadeia de infecção e técnicamente sofisticada para uma campanha que usa RATs comerciais: os payloads sao ocultados dentro de imagens via **esteganografia** (T1027.003), uma técnica que evita detecção por ferramentas de inspecao de conteudo que nao analisam arquivos de imagem. Os arquivos esteganografados sao hospedados em servicos legitimos como **OneDrive e Google Drive** (T1102 - Web Service), tornando o trafego de entrega virtualmente indistinguivel de uso corporativo legitimo. A resolução de C2 utiliza DNS dinâmico (T1568 - Dynamic Resolution) para dificultar bloqueios por listas negras. Os RATs comerciais [[s0385-njrat|njRAT]] e [[s0332-remcos|Remcos]], embora nao exclusivos desta campanha, foram configurados e operados de forma profissional, com infraestrutura de C2 dedicada e procedimentos claros de persistência. A campanha demonstra que **RATs comerciais de baixo custo, combinados com técnicas de entrega sofisticadas, podem ser tao eficazes quanto malware customizado** para operações de espionagem direcionadas. Para o contexto LATAM, o padrao da Spalax - phishing com iscas locais, RATs comerciais, esteganografia - e um blueprint que pode ser facilmente replicado contra alvos brasileiros. ## Attack Flow - Operation Spalax ```mermaid graph TB A["🎯 Phishing COVID/Banco Iscas temáticas colombianas"] --> B["📎 Anexo ou Link Malicioso T1566.001 / T1566.002"] B --> C["🎭 Esteganografia Payload oculto em imagem"] C --> D["📦 Software Packing Payload ofuscado e comprimido"] D --> E["🔄 DGA para C2 DNS dinâmico resiliência"] E --> F["🕹 njRAT ou Remcos RAT com acesso total"] F --> G["💀 Espionagem Prolongada Gov, energia, metalurgia CO"] classDef phish fill:#2a1a3a,color:#ccaaff,stroke:#8e44ad classDef evade fill:#1a2a1a,color:#aaffaa,stroke:#27ae60 classDef impact fill:#3a2a1a,color:#ffcc88,stroke:#e67e22 class A,B phish class C,D,E evade class F,G impact ``` ## Descrição A Operation Spalax foi uma campanha de espionagem cibernética documentada pela ESET em janeiro de 2021, com atividade rastreada de novembro de 2019 a janeiro de 2021, visando principalmente organizações governamentais colombianas e empresas privadas dos setores de energia e metalurgia. A campanha distribuiu [[s0385-njrat|njRAT]] e [[s0332-remcos|Remcos]] - RATs de acesso remoto amplamente utilizados - por meio de phishing temático ([[t1566-001-spearphishing-attachment|T1566.001]] e [[t1566-002-spearphishing-link|T1566.002]]) com iscas relacionadas à COVID-19, serviços bancários e ações de aplicação da lei colombiana. Pesquisadores identificaram sobreposições de infraestrutura com campanhas atribuídas ao APT-C-36 (Blind Eagle) - grupo de ameaça com histórico de operações na Colômbia e América Latina - , porém com diferenças suficientes para reportar como atividade distinta e não atribuída. A campanha utilizou técnicas de evasão incluindo esteganografia ([[t1027-003-steganography|T1027.003]]) para ocultar payloads em imagens, empacotamento de software ([[t1027-002-software-packing|T1027.002]]) e resolução dinâmica de domínios C2 ([[t1568-dynamic-resolution|T1568]]) via DNS dinâmico. A escolha de alvos na Colômbia - governo, energia e metalurgia - é consistente com interesse em inteligência sobre políticas energéticas, gestão de recursos naturais e comúnicações governamentais de um dos países mais estratégicamente relevantes da América Latina. ## Impacto Organizações governamentais colombianas e empresas dos setores de energia e metalurgia foram comprometidas com acesso remoto via njRAT e Remcos, permitindo coleta de dados, keylogging e controle total de sistemas infectados. A duração da campanha (mais de um ano) e o foco em setores estratégicos indicam objetivo de coleta sistemática de inteligência, não apenas ganho financeiro. ## Relevância LATAM/Brasil A Operation Spalax é diretamente relevante para o contexto LATAM por ser a primeira campanha de espionagem documentada específicamente contra alvos governamentais e industriais colombianos. O Brasil compartilha padrões de ameaça similares com a Colômbia: mesmo tipo de alvos (governo, energia, financeiro), mesmo tipo de vetores (phishing temático em português/espanhol) e mesma superfície de ataque (Windows corporativo com usuários menos treinados). Grupos como APT-C-36 têm expandido operações para outros países da América do Sul, incluindo o Brasil. Equipes de segurança brasileiras devem monitorar IoCs da Operation Spalax e da família APT-C-36 como indicadores de possível expansão regional. ## Técnicas Utilizadas - [[t1588-002-tool|T1588.002 - Tool]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1588-001-malware|T1588.001 - Malware]] - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1102-web-service|T1102 - Web Service]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] ## Software Utilizado - [[s0385-njrat|njRAT]] - [[s0332-remcos|Remcos]] --- --- *Fonte: [MITRE ATT&CK - C0005](https://attack.mitre.org/campaigns/C0005)* *Fonte: ESET - "Operation Spalax: Targeted malware attacks in Colombia" (Janeiro 2021)*