# Water Curupira Campaign > [!high] > Campanha de distribuição do loader **PikaBot** operada pelo grupo **Water Curupira** (com sobreposição com TA577), ativa principalmente no primeiro trimestre de 2023. O PikaBot foi utilizado como precursor para implantar **Cobalt Strike** e, subsequentemente, o ransomware **Black Basta**, numa cadeia de ataque que replica o modelo do QakBot banido pelo FBI. Notória pela técnica de sequestro de threads de e-mail legítimas. ## Visão Geral O Water Curupira é o nome atribuído pela Trend Micro ao grupo (com forte sobreposição com o TA577 rastreado pela Proofpoint) que operou a distribuição em larga escala do loader [[pikabot]] em 2023. O grupo emergiu como substituto funcional do QakBot, cujos servidores foram desativados pela Operação Duck Hunt do FBI em agosto de 2023, e adotou métodologias similares de distribuição via e-mail corporativo comprometido. A técnica distintiva da campanha foi o **sequestro de threads de e-mail** (email thread hijacking): os operadores comprometiam caixas de e-mail corporativas e respondiam a conversas legítimas em andamento com anexos maliciosos ou links para payloads. Essa abordagem aumentava drasticamente as taxas de abertura porque as mensagens chegavam em contexto de uma conversa real e de uma conta conhecida pelo destinatário. Os anexos variavam entre arquivos JavaScript, imagens IMG (disk images) e documentos com links para download. O [[pikabot]] funcionava como loader de segundo estágio, verificando condições do ambiente (incluindo idioma do sistema - se detectasse russo ou ucraniano, abortava a execução) antes de contatar o C2 e receber payloads adicionais. Na maioria dos casos observados, o PikaBot carregava o [[s0154-cobalt-strike]] como terceiro estágio, que então preparava o terreno para a implantação final do [[s1070-black-basta-ransomware]]. A campanha apresentou dois picos principais de atividade: janeiro-fevereiro de 2023 e setembro de 2023, este último coincidindo com a busca por substitutos do QakBot pós-derrubada. A infraestrutura de C2 do PikaBot utilizou exclusivamente portas não-padrão (2222, 1194, 13720) para evasão de regras de firewall baseadas em portas. O MITRE ATT&CK rastreia esta campanha como C0037. ## Attack Flow ```mermaid graph TB A["📧 Sequestro de Thread de E-mail<br/>Conta corporativa comprometida<br/>Resposta a conversa legítima"] --> B["📎 Anexo Malicioso<br/>JavaScript / IMG / Documento<br/>com link para payload"] B --> C["🔧 Execução do PikaBot<br/>Loader verifica ambiente<br/>Descarta se RU/UA detectado"] C --> D["📡 Contato com C2 PikaBot<br/>Porta não-padrão (2222/1194)<br/>Aguarda payload de segundo estágio"] D --> E["🎯 Implantação Cobalt Strike<br/>Beacon estabelecido<br/>Reconhecimento e movimentação"] E --> F["💥 Black Basta Ransomware<br/>Criptografia de rede<br/>Dupla extorsão"] ``` **Legenda:** [[T1566-001-spearphishing-attachment|T1566.001]] · [[T1059-007-javascript|T1059.007]] · [[T1486-data-encrypted-for-impact|T1486]] ## Cronologia ```mermaid timeline title Water Curupira / PikaBot - Linha do Tempo Jan-Feb 2023 : Primeiro pico de campanhas PikaBot : Email thread hijacking em larga escala : Attachments JavaScript e IMG Abr 2023 : Trend Micro publica análise do Water Curupira : Proofpoint rastreia como TA577 Mai 2023 : Redução de atividade - possível manutenção Ago 2023 : FBI derruba QakBot (Operação Duck Hunt) : Lacuna no mercado de MaaS/loaders Set 2023 : Segundo pico de campanhas PikaBot : Grupo se reposiciona como substituto do QakBot Out-Dez 2023 : Atividade reduz conforme concorrência aumenta : IcedID e DarkGate também preenchem lacuna ``` ## TTPs Principais | Tática | Técnica | ID | Detalhe | |--------|---------|----|---------| | Acesso Inicial | Spear-phishing com Anexo | [[T1566-001-spearphishing-attachment\|T1566.001]] | Thread hijacking com arquivos JS/IMG | | Execução | JavaScript | [[T1059-007-javascript\|T1059.007]] | Arquivos .js como dropper inicial | | Evasão | Verificação de Idioma | [[T1497-003-time-based-evasion\|T1497.003]] | Aborta se RU/UA detectado | | C2 | Portas Não-Padrão | [[T1571-non-standard-port\|T1571]] | Portas 2222, 1194, 13720 | | Execução de Ferramenta | Lateral Tool Transfer | [[T1570-lateral-tool-transfer\|T1570]] | PikaBot carrega Cobalt Strike | | Impacto | Dados Criptografados | [[T1486-data-encrypted-for-impact\|T1486]] | Black Basta como payload final | ## Infraestrutura e Detalhes Técnicos - **PikaBot**: loader em C++ com componente injetor e módulo principal separados - **Anti-análise**: verificações de sandbox (VM detection, user interaction checks) - **Anti-análise regional**: descarta execução se idioma do sistema for russo ou ucraniano - **C2**: IPs com portas não-padrão (2222, 1194, 13720) para evasão - **Email hijacking**: acesso via credenciais roubadas ou servidores mail comprometidos - **Cadeia final**: PikaBot → Cobalt Strike → Black Basta ## Relevância LATAM Embora a campanha Water Curupira não tenha alvo LATAM documentado, a técnica de sequestro de threads de e-mail é extremamente eficaz e amplamente replicável. O [[s1070-black-basta-ransomware]] que compõe o payload final desta cadeia de ataque afetou organizações em múltiplos países, incluindo na América Latina. Grupos de ransomware affiliates frequentemente reutilizam loaders como o PikaBot para distribuição regional adaptada. ## Detecção e Defesa - Inspecionar e-mails com anexos JavaScript (`.js`) ou disk images (`.img`, `.iso`) - raramente legítimos - Monitorar comúnicações de saída em portas não-padrão (2222, 1194, 13720) para IPs externos - Implementar DMARC/DKIM rigoroso para detectar spoofing de contas corporativas comprometidas - Alertar sobre processos `wscript.exe` ou `cscript.exe` com argumentos incomuns - Desabilitar montagem automática de disk images no Windows (política de grupo) - Monitorar beacon patterns do Cobalt Strike (conexões periódicas ao C2) - Consultar [[M1049-antivirus-antimalware|M1049]] e [[M1031-network-intrusion-prevention|M1031]] para controles específicos ## Referências - [1](https://www.trendmicro.com/en_us/research/23/d/water-curupira-pikabot-spam-campaign.html) Trend Micro - Water Curupira: PikaBot Spam Campaign (2023) - [2](https://www.proofpoint.com/us/blog/threat-insight/ta577-exhibits-unique-okta-phishing-chain) Proofpoint - TA577 Analysis and Methodology (2023) - [3](https://attack.mitre.org/campaigns/C0037/) MITRE ATT&CK - C0037: PikaBot Distribution Campaign (2023) - [4](https://www.elastic.co/security-labs/pikabot-i-choose-you) Elastic Security Labs - PikaBot Loader Analysis (2023) - [5](https://therecord.media/pikabot-malware-qakbot-replacement) The Record - PikaBot: Is This the New QakBot? (2023)