# Operation Wilted Tulip > [!high] Campanha de Espionagem Iraniana Contra Israel e Aliados > A **Operation Wilted Tulip** foi uma campanha de ciberespionagem conduzida pelo grupo iraniano **CopyKittens** (G0052) entre 2013 e 2017, visando organizacoes governamentais, militares e academicas em Israel, Arabia Saudita, Turquia, EUA e Europa. A operação combinou watering holes no Jerusalem Post, spear-phishing com exploit CVE-2017-0199 e um arsenal de malware proprietario e adaptado. ## Visão Geral A Operation Wilted Tulip foi documentada em um relatorio conjunto da Trend Micro e ClearSky Cyber Security em julho de 2017, expondo anos de operações persistentes do [[g0052-copykittens]] - um grupo de ameaça nexo-Iran ativo desde pelo menos 2013. O nome da campanha referência a capacidade do grupo de comprometer organizacoes que pareciam bem protegidas. O [[g0052-copykittens]] (MITRE G0052) demonstrou um perfil tecnico distinto: em vez de desenvolver exclusivamente ferramentas proprietarias, o grupo adaptou e modificou ferramentas open-source e comerciais, combinando-as com malware customizado como o TDTESS backdoor e o Matryoshka RAT. O Matryoshka RAT e baseado em modificacoes do DNScat2, utilizando canais DNS para comunicação C2 - uma técnica mais dificil de detectar em redes corporativas que nao inspecionam trafico DNS profundamente. A campanha explorou ativamente um watering hole no site do Jerusalem Post - um dos principais jornais israelenses, lido por funcionarios governamentais, diplomaticos e pesquisadores de segurança em todo o mundo. Essa técnica permitiu ao grupo comprometer alvos de alto valor sem a necessidade de spear-phishing direcionado em alguns casos. Alem disso, o grupo explorou a vulnerabilidade [[cve-2017-0199|CVE-2017-0199]] no Microsoft Office para entrega de payloads via documentos armados. O [[s0154-cobalt-strike]] foi identificado como ferramenta de pos-exploração na campanha, demonstrando que o grupo utilizava ferramentas comerciais de red team para facilitar movimento lateral e persistência em redes comprometidas - uma prática comum em grupos APT com acesso a recursos financeiros adequados. ## Attack Flow ```mermaid graph TB A["🌐 Vetor Inicial<br/>Watering hole Jerusalem Post<br/>OU spear-phishing Office"] --> B["💥 Execução de Exploit<br/>CVE-2017-0199 Office RTF<br/>User Execution T1204"] B --> C["💧 Drop de Payload<br/>TDTESS Backdoor<br/>ou Matryoshka RAT"] C --> D["🔗 C2 via DNS/HTTP<br/>Matryoshka usa DNS-over-C2<br/>TDTESS usa HTTP custom"] D --> E["🔍 Reconhecimento Interno<br/>Mimikatz - dump credenciais<br/>PsExec - enumeracao rede"] E --> F["🚀 Movimento Lateral<br/>Cobalt Strike pos-expl<br/>Credenciais capturadas"] F --> G["📦 Coleta e Exfiltração<br/>Documentos classificados<br/>e-mails e relatorios"] ``` ### Arsenal Tecnico ```mermaid graph TB A["CopyKittens Arsenal"] --> B["TDTESS Backdoor<br/>Customizado - HTTP C2<br/>Modular e atualizavel"] A --> C["Matryoshka RAT<br/>Baseado em DNScat2<br/>C2 via canal DNS"] A --> D["Cobalt Strike<br/>Pos-exploração comercial<br/>Lateral movement"] A --> E["Ferramentas LOTL<br/>Mimikatz e PsExec<br/>PowerShell scripts"] B --> F["Funcionalidades TDTESS<br/>Upload/download arquivos<br/>Capturas de tela<br/>Execução de comandos"] C --> G["Funcionalidades Matryoshka<br/>Keylogging<br/>Persistência via registro<br/>Injecao de processo T1055"] ``` ## Cronologia | Data | Evento | |------|--------| | 2013-01 | Estimativa de inicio das operações do CopyKittens, identificada em retrospecto | | 2014-2015 | Campanhas contra universidades israelenses e orgaos governamentais documentadas | | 2016-03 | Comprometimento do watering hole no site do Jerusalem Post detectado | | 2017-01 | Exploração ativa de CVE-2017-0199 (Microsoft Office RTF) em campanhas de phishing | | 2017-07 | Trend Micro e ClearSky públicam relatorio conjunto documentando a Operation Wilted Tulip | | 2017-09 | Atribuicao formal ao nexo iraniano baseada em análise de infraestrutura e TTPs | | 2017-12 | Campanha considerada encerrada após exposicao pública; grupo adapta operações | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Spear-phishing com documentos Office explorando CVE-2017-0199 | | [[t1189-drive-by-compromise\|T1189]] | Drive-by Compromise | Watering hole no Jerusalem Post para comprometer alvos | | [[t1059-command-scripting-interpreter\|T1059]] | Command Scripting | PowerShell e VBScript para execução de payloads | | [[t1055-process-injection\|T1055]] | Process Injection | Matryoshka RAT injetando em processos legitimos | | [[t1003-os-credential-dumping\|T1003]] | Credential Dumping | Mimikatz para extrair credenciais NTLM e Kerberos | | [[t1021-remote-services\|T1021]] | Remote Services | PsExec e Cobalt Strike para movimento lateral | | [[t1071-application-layer-protocol\|T1071]] | Application Layer | C2 via HTTP (TDTESS) e DNS (Matryoshka RAT) | ## Vitimas e Alvos O [[g0052-copykittens]] demonstrou capacidade de comprometer alvos altamente protegidos: - **Entidades governamentais israelenses**: Ministerios, agencias de inteligência e orgaos de defesa - **Academicos e pesquisadores**: Universidades israelenses com pesquisa de segurança nacional - **Contratantes de defesa**: Empresas fornecendo servicos ao setor de defesa israelense - **Organizacoes sauditas e turcas**: Entidades diplomaticas e governamentais - **Alvos nos EUA e Europa**: Comprometidos via watering hole no Jerusalem Post O watering hole no Jerusalem Post era especialmente eficaz pois o site era regularmente acessado por jornalistas, diplomaticos, funcionarios de relacoes exteriores e pesquisadores de segurança em todo o mundo. ## Relevância LATAM O impacto direto para o Brasil e LATAM e limitado dado o foco geografico no Oriente Medio. No entanto: > [!latam] Contexto Brasil e LATAM > A técnica de **watering hole em midia especializada** e um vetor crescente na regiao. Portais brasileiros de defesa e segurança nacional representam potenciais alvos para grupos motivados por espionagem. O modelo operacional do CopyKittens - combinando ferramentas open-source modificadas com RATs customizados - e espelhado pelo **Blind Eagle** (APT-C-36), que opera ativamente contra governos de Colombia, Ecuador e outros paises de LATAM com TTPs similares. ## Mitigação e Detecção - **Patch emergêncial de CVE-2017-0199**: Atualizar Microsoft Office para versoes nao vulneraveis - **Desabilitar macros automaticas** em documentos Office de fontes externas via Group Policy - **Web filtering** para bloquear downloads maliciosos de sites comprometidos (watering holes) - **Monitoramento de DNS anormal**: Detectar tunneling DNS usado pelo Matryoshka RAT - **Detecção de Mimikatz** via regras SIEM para acesso incomum ao processo LSASS - **Segmentacao de rede** para limitar movimento lateral via PsExec e Cobalt Strike - Aplicar [[m1049-antivirus-endpoint-protection]], [[m1031-network-intrusion-prevention]] e [[m1050-exploit-protection]] ## Referências - [Trend Micro + ClearSky - Operation Wilted Tulip (Jul 2017)](https://documents.trendmicro.com/assets/wp/wp-operation-wilted-tulip.pdf) - [ClearSky - CopyKittens Attack Group Report](https://www.clearskysec.com/copykittens/) - [MITRE ATT&CK - CopyKittens (G0052)](https://attack.mitre.org/groups/G0052/) - [NVD - CVE-2017-0199](https://nvd.nist.gov/vuln/detail/CVE-2017-0199)