# APT28 > [!danger] APT Estatal — GRU Russo > **APT28** (MITRE G0007), também conhecido como **Fancy Bear**, é um grupo de espionagem cibernética atribuído ao serviço de inteligência militar russo (GRU). Opera desde 2004 e é responsável por interferências eleitorais, ataques a infraestrutura da OTAN e campanhas de espionagem global de alto impacto. ## Visão Geral APT28 é um dos grupos de ameaça persistente avançada mais ativos e documentados do mundo, atribuído pela inteligência americana, britânica e europeia ao GRU russo, específicamente às Unidades 26165 e 74455. O grupo combina capacidade técnica sofisticada com objetivos estratégicos alinhados à política externa russa: espionagem de governos ocidentais, interferência em processos eleitorais e sabotagem de infraestrutura militar. Entre os casos de maior impacto público do APT28 estão: a invasão do Comitê Nacional Democrata (DNC) dos EUA em 2016, o ataque ao Bundestag alemão em 2015, e as campanhas contínuas contra infraestrutura ucraniana. Em 2025, o APT28 foi identificado em ataques de "Nearest Neighbor" — exploração de redes Wi-Fi de organizações adjacentes ao alvo para saltar para a rede alvo sem exposição direta. Para o Brasil e a América Latina, o APT28 representa risco direcionado a embaixadas russas, organizações governamentais com vínculos diplomáticos europeus e empresas de tecnologia com presença em países da OTAN. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nOSINT / Scanning] --> B[Acesso Inicial\nSpear Phishing\nExploit N-day] B --> C[Execução\nX-Agent / Sofacy\nPowerShell] C --> D[Persistência\nBackdoor customizado\nRegistry Run Keys] D --> E[Movimentação Lateral\nPass-the-Hash\nWMI] E --> F[Exfiltração\nDados gov / militares\nCredenciais] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | E-mails temáticos políticos / militares | | Exploit Aplicação | [[t1190-exploit-public-facing-application\|T1190]] | VPNs, webmail, Outlook zero-days | | Exploit Cliente | [[t1203-exploitation-for-client-execution\|T1203]] | Office, browser exploits | | C2 via HTTP/S | [[t1071-application-layer-protocol\|T1071]] | Comúnicação via serviços legítimos | | Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Mimikatz, NTLM hashes | ## Detecção e Defesa - Implementar MFA em todos os serviços de e-mail e VPN expostos à internet - Monitorar conexões Wi-Fi suspeitas de dispositivos não gerenciados (técnica Nearest Neighbor) - Aplicar [[m1032-multi-factor-authentication|M1032]] em portais de acesso remoto - Revisar logs de autenticação para padrões de credential stuffing - Consultar [[ds0015-application-log|DS0015]] para detecção de acesso anômalo a webmail ## Referências - MITRE ATT&CK: [APT28 G0007](https://attack.mitre.org/groups/G0007/) - DOJ: GRU Cyber Operations Indictment (2018) - Microsoft MSTIC: Forest Blizzard LOTL campaigns (2024) - NCSC UK: APT28 targeting critical infrastructure (2023) - Volexity: Nearest Neighbor Attack — APT28 Wi-Fi pivoting (2025)