g0021-molerats - RunkIntel

# Molerats ## Visão Geral O **Molerats** (rastreado pela Proofpoint como **TA402**, também conhecido como **Gaza Cybergang**, **WIRTE** e **Frankenstein**) e um grupo de ciberespionagem pro-palestino, ativo desde pelo menos **2012**. O grupo opera em suporte aos objetivos de inteligência palestinos, com foco exclusivo em entidades governamentais e diplomaticas do **Oriente Medio e Norte da Africa** - especialmente Israel, Jordania, Egito e paises do Golfo Persico. O Molerats e notavel por sua **longevidade e adaptabilidade**: 12+ anos de operações continuas com reinvencao constante de toolset e métodos de entrega. A Proofpoint documentou que o grupo **nunca persegue mais de cinco organizacoes em qualquer campanha individual** - indicando disciplina operacional elevada e foco em espionagem de alta precisao. Em 2023, lancou o downloader **IronWind** (escrito em Go), seu arsenal mais sofisticado até então. Em 2024, a sub-cluster **WIRTE** expandiu para ataques de sabotagem contra Israel com o wiper **SameCoin** - uma escalada significativa de espionagem para destruicao de dados. O grupo utilizou consistentemente contas de **Ministerio de Relacoes Exteriores comprometidas** como fonte de phishing, dando aos emails alta credibilidade entre funcionarios governamentais - uma técnica de engenharia social eficaz que e replicavel globalmente. ```mermaid graph TB A["Conta MFA comprometida Email phishing tema: Gaza / economia"] --> B["Entrega Variavel Dropbox link ou XLL / RAR anexo"] B --> C["DLL Side-Loading tabcal.exe + version.dll IronWind sideloader"] C --> D["IronWind Downloader Golang RAT HTTP GET C2"] D --> E["Shellcode Stage 2 Havoc framework ou SameCoin Wiper"] E --> F["Exfiltração Documentos governo ou destruicao de dados"] style A fill:#2980b9,color:#fff style B fill:#8e44ad,color:#fff style C fill:#e67e22,color:#fff style D fill:#c0392b,color:#fff style E fill:#2c3e50,color:#fff style F fill:#196f3d,color:#fff ``` ## Atribuicao O grupo e atribuido a interesses palestinos com **media-alta confiança** com base em: - Foco exclusivo em alvos adversarios aos interesses palestinos (Israel, paises arabes aliados a acordos de normalizacao) - Lures em lingua arabe, decoy documents sobre questao de Gaza, assuntos do Conselho de Cooperação do Golfo - Uso de conta comprometida de Ministerio de Relacoes Exteriores - consistente com recursos de Estado - Historico de 12+ anos de operações continuas (2012-2024) sem interrupcoes significativas mesmo durante o conflito de outubro de 2023 - Sobreposicao com clusters WIRTE e Frankenstein, ambos rastreados independentemente por múltiplas empresas ## Arsenal e Evolução (2012-2024) | Período | Ferramenta | Tipo | Novidade | |---------|-----------|------|----------| | 2012-2017 | PoisonIvy, DustySky | RAT público/customizado | Campanhas iniciais contra Israel | | 2017-2020 | SharpStage, DropBook | Backdoors .NET | C2 via Google Drive, Facebook Messenger | | 2020-2022 | MoleNet, Spark | Downloaders | C2 via Dropbox API | | 2023 | IronWind | Downloader Go | DLL side-loading, C2 via servidor proprio | | 2024 | SameCoin Wiper | Wiper destrutivo | Escalada de espionagem para sabotagem | ### [[ironwind|IronWind]] (2023 - destaque tecnico) Downloader inicial desenvolvido em **Go**, lancado em julho de 2023. Tres variantes de entrega em apenas 4 meses - demonstrando capacidade de iteracao rapida: 1. **Julho 2023**: Link Dropbox → PPAM malicioso → macro solta version.dll (IronWind) + tabcal.exe + gatherNetworkInfo.vbs 2. **Agosto 2023**: Anexo XLL → carrega IronWind diretamente 3. **Outubro 2023**: Anexo RAR → tabcal.exe renomeado para side-load IronWind O IronWind se comúnica via HTTP GET com C2 proprio (abandono do Dropbox API), baixa shellcode de stage 2 e permite deploy do framework Havoc para pos-exploração. ### [[samecoin|SameCoin Wiper]] (2024 - escalada destrutiva) Em 2024, a sub-cluster **WIRTE** (que se sobrepos ao Molerats/TA402) ampliou suas operações para incluir destruicao de dados contra entidades israelenses. A campanha usou **phishing impersonando a empresa de cibersegurança ESET** (parceira israelense) para distribuir uma variante atualizada do SameCoin Wiper. O wiper incorporou uma técnica de criptografia previamente vista no IronWind loader - confirmando a relacao entre os clusters. Esta foi a primeira vez documentada do grupo usando capacidades destrutivas (wiper) em escala significativa. ## Campanhas Notaveis ```mermaid graph TB C1["2012-2017 Operacoes iniciais Israel + Oriente Medio"] --> C2["2017-2020 SharpStage / DropBook C2 via Facebook/GDrive"] C2 --> C3["2021-2022 MoleNet + Spark C2 via Dropbox API"] --> C4["Jul-Out 2023 IronWind Downloader 3 variantes em 4 meses"] C4 --> C5["Out 2023 Lure: guerra Gaza Primeiro uso do conflito"] --> C6["2024 WIRTE SameCoin Wiper contra Israel"] style C1 fill:#7f8c8d,color:#fff style C2 fill:#2980b9,color:#fff style C3 fill:#e67e22,color:#fff style C4 fill:#c0392b,color:#fff style C5 fill:#8e44ad,color:#fff style C6 fill:#e74c3c,color:#fff ``` | Campanha | Período | Alvo | Vetor | Malware | |----------|---------|------|-------|---------| | Operation Parliament | 2018 | Parlamentos Oriente Medio | Spearphishing | SharpStage | | SneakyPastes | 2019 | Entidades israelenses | Spearphishing | DustySky via Pastebin | | IronWind Campanha 1 | Jul 2023 | Governos Oriente Medio/Norte Africa | Dropbox → PPAM | IronWind + Havoc | | IronWind Campanha 2 | Ago-Out 2023 | Governos MENA | XLL/RAR attachments | IronWind + Shellcode | | SameCoin Wiper | 2024 | Entidades israelenses | Phishing impersonando ESET | SameCoin Wiper destrutivo | ## Técnicas de Ataque - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - XLL, RAR, PPAM maliciosos - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - links Dropbox para PPAM - [[t1574-002-dll-side-loading|T1574.002 - DLL Side-Loading]] - tabcal.exe + version.dll (IronWind) - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - persistência pos-comprometimento - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode]] - IronWind decoda shellcode stage 2 - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de payloads - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys]] - persistência Windows - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials Web Browsers]] - coleta de credenciais ## Relevância para o Brasil e LATAM O Molerats/TA402 nao possui registro de campanhas contra o Brasil ou América Latina em seus 12+ anos de operação. O foco exclusivo no conflito israelense-palestino e nos governos do Oriente Medio deixa o LATAM fora do escopo operacional atual. Entretanto, dois elementos sao relevantes para analistas LATAM: **Risco diplomatico indireto:** - A técnica de **conta de Ministerio de Relacoes Exteriores comprometida como remetente** pode ser replicada por qualquer grupo de espionagem em qualquer contexto diplomatico - incluindo o [[government|Itamaraty brasileiro]] - Qualquer entidade diplomatica brasileira em Israel, Jordania, Egito ou Arabia Saudita pode receber spearphishing como dano colateral de campanhas direcionadas a diplomatas desses paises **Relevância técnica - geofencing e precisao:** - O modelo de **menos de 5 alvos por campanha** e **geofencing** (verificação de fuso horario antes de execução) representa uma abordagem de espionagem de alta precisao que reduce exposicao - os defenders LATAM devem entender que este padrao deixa muito menos rastros para análise retrospectiva - A transicao de [[t1574-002-dll-side-loading|DLL side-loading]] via binarios Windows legitimos (tabcal.exe) e uma técnica evasiva de alta eficacia documentada em ambientes israelenses mas aplicavel globalmente ## Referências - [Proofpoint - TA402 IronWind (Nov 2023)](https://www.proofpoint.com/us/blog/threat-insight/ta402-uses-complex-ironwind-infection-chains-target-middle-east-based-government) - [SC World - WIRTE SameCoin Wiper (Nov 2024)](https://www.scworld.com/brief/expanded-cyberattacks-launched-by-hamas-linked-hackers-against-israel) - [CyberScoop - Pro-Palestinian TA402 (Nov 2023)](https://cyberscoop.com/gaza-hamas-israel-cyber-hacking-espionage/) - [MITRE ATT&CK - G0021](https://attack.mitre.org/groups/G0021/)