# APT35 > [!danger] APT Iraniano — Espionagem de Dissidentes e Academia > **APT35** (MITRE G0059), conhecido como **Charming Kitten**, é um grupo iraniano ligado ao IRGC que usa spear phishing sofisticado para comprometer jornalistas, think tanks, acadêmicos e dissidentes iranianos. Especializado em engenharia social via identidades falsas de pesquisadores. ## Visão Geral APT35 (Charming Kitten) é um grupo de espionagem iraniano atribuído ao IRGC (Guarda Revolucionária Islâmica), com foco em espionagem de indivíduos de alto valor: pesquisadores de política externa, jornalistas que cobrem o Irã, dissidentes iranianos no exterior, e acadêmicos de think tanks relacionados a política do Oriente Médio. O grupo é notável pela sofisticação de suas campanhas de spear phishing — frequentemente criando personas fictícias convincentes de jornalistas, pesquisadores ou colegas do alvo, engajando em conversas de semanas antes de introduzir o vetor de ataque. O APT35 também criou aplicativos de mensagem maliciosos direcionados a usuários do Telegram com perfil de dissidentes iranianos. Em 2024, o APT35 (como "Mint Sandstorm") foi identificado em campanhas contra candidatos presidenciais americanos — a Microsoft e o FBI emitiram alertas sobre tentativas de comprometimento de campanhas eleitorais dos EUA com potencial nexo ao IRGC iraniano. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nLinkedIn / Academia\nRedes de pesquisadores] --> B[Persona Falsa\nIdentidade de jornalista\nConversa semanas] B --> C[Spear Phishing\nConvite para entrevista\nLink para documento] C --> D[Credential Harvest\nFalsa página Office365\nCookies de sessão] D --> E[Acesso E-mail\nHistórico de comúnicações\nContatos de alto valor] E --> F[Vigilância\nDissidentes monitorados\nInteligência coletada] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | Personas falsas de pesquisadores / jornalistas | | Roubo de Cookies | [[t1539-steal-web-session-cookie\|T1539]] | Bypass de MFA via cookie de sessão roubado | | Phishing de Credenciais | [[t1598-phishing-for-information\|T1598]] | Páginas falsas de Office 365 / Google | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Acesso com credenciais roubadas | ## Detecção e Defesa - Verificar identidade de solicitações de entrevistas/colaborações via canal alternativo - Implementar MFA resistente a phishing (FIDO2) — cookies roubados contornam OTP - Verificar remetente de e-mails com nome de colegas conhecidos (email spoofing) - Aplicar [[m1032-multi-factor-authentication|M1032]] com chaves físicas - Monitorar [[ds0028-logon-session|DS0028]] para logins de novos dispositivos/geolocalização ## Referências - MITRE ATT&CK: [APT35 G0059](https://attack.mitre.org/groups/G0059/) - Microsoft MSTIC: Mint Sandstorm election interference (2024) - Proofpoint: TA453 — Charming Kitten TTPs (2023) - Mandiant: APT35 multi-persona social engineering (2022) - Google TAG: Charming Kitten targeting journalists (2021)