g0033-poseidon-group

# Poseidon Group > [!warning] Primeiro Grupo APT de Língua Portuguesa - Extorsão como Modelo de Negócio > O Poseidon Group é historicamente notável: o **primeiro grupo de ataque direcionado de língua portuguesa** documentado públicamente. Ativo desde pelo menos 2005, o grupo tem um modelo de negócio único e perverso: exfiltrar dados sensíveis das vítimas e então **chantagear as empresas para contratar o próprio Poseidon como empresa de segurança**. A Kaspersky identificou que o código do malware do grupo foi compilado em sistemas com configuração de idioma Português do Brasil. ## Visão Geral O **Poseidon Group** foi exposto pela Kaspersky GReAT (Global Research and Analysis Team) em fevereiro de 2016, no Security Analyst Summit. A pesquisa revelou um ator de ameaça que havia operado por pelo menos 10 anos (com amostras datando de 2001) sem ser identificado como grupo único — vários fragmentos de suas campanhas haviam sido reportados por diferentes empresas ao longo dos anos, mas ninguém tinha percebido que pertenciam ao mesmo ator. Duas características tornam o Poseidon Group excepcional na história da inteligência de ameaças: 1. **Idioma**: O malware do grupo foi desenvolvido para funcionar específicamente em sistemas com configurações de idioma **inglês e português**. A Kaspersky identificou que strings de linguagem e preferências por sistemas em português apontam para o **Português do Brasil** específicamente, tornando o Poseidon Group o primeiro grupo de APT com aparente nexo brasileiro documentado. 2. **Modelo de extorsão**: Após comprometer uma empresa e exfiltrar dados sensíveis, o grupo não simplesmente vende os dados ou os usa para espionagem clássica. Em vez disso, usa as informações coletadas para **chantagear a vítima a contratar o Poseidon Group como empresa de segurança**. E quando contratados, o grupo **continuava a infecção** ou iniciava nova infecção posteriormente, mantendo acesso persistente além da obrigação contratual. O Poseidon Group visou pelo menos 35 empresas em setores variados — bancário, governo, telecomúnicações, manufatura, energia e mídia. A exfiltração utilizou métodos incomuns: em alguns casos, conexões de satélite sequestradas para exfiltrar dados de forma que evitasse detecção por monitoramento convencional de rede. ## Attack Flow - Espionagem e Extorsão Corporativa ```mermaid graph TB A["Spearphishing T1566.001 Office Document Executável embutido"] --> B["Comprometimento Malware customizado Inglês e Português"] B --> C["Mapeamento de Rede T1049 T1046 Busca de contas admin"] C --> D["Credential Dumping T1003 OS Credential Dump Domínio e banco de dados"] D --> E["Exfiltração Dados sensíveis Via satélite sequestrado"] E --> F["Chantagem Oferta de serviço de segurança forçada"] F --> G["Contrato Falso Acesso mantido além do contrato"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#1a5276,color:#fff style F fill:#d35400,color:#fff style G fill:#196f3d,color:#fff ``` ## Modelo de Extorsão - Detalhe ```mermaid graph TB A["Empresa vítima comprometida com dados exfiltrados"] --> B["Poseidon Group aborda a empresa como 'consultoria de segurança'"] B --> C{"Empresa aceita ser cliente?"} C -->|Sim| D["Contrato firmado Poseidon recebe pagamento como serviço legítimo"] C -->|Não| E["Dados usados para concorrência ou 'previsão de investimentos'"] D --> F["Infecção MANTIDA Coleta continua além do contrato"] E --> G["Chantagem continua Revelação a concorrentes Pressão crescente"] style A fill:#c0392b,color:#fff style D fill:#e67e22,color:#fff style F fill:#8e44ad,color:#fff style E fill:#7f8c8d,color:#fff ``` > [!info] Serviço de Segurança como Fachada > O Poseidon Group é único por usar a própria espionagem como alavanca comercial. O acesso a informações sensíveis cria uma situação onde a empresa vítima pode preferir "contratar" o grupo a ter seus segredos expostos. Isso cria um modelo de receita sustentável que mistura cibercrime com extorsão corporativa. ## Timeline ```mermaid timeline title Poseidon Group - Cronologia 2001 : Primeira amostra encontrada : Malware com suporte a inglês e português 2005 : Campanhas documentadas (mínimo) : Primeiro alvo confirmado 2005-2015 : Operação silenciosa : 35+ empresas em múltiplos setores : 10+ anos sem identificação como grupo único 2015 : Kaspersky GReAT identifica o grupo : Peças fragmentadas de diferentes relatórios reunidas 2016-02 : Kaspersky publica pesquisa no SAS : Poseidon Group nomeado - primeiro APT lusófono ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office com executáveis embutidos | | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Extração de credenciais de domínio e banco de dados | | System Network Connections Discovery | [[t1049-system-network-connections-discovery\|T1049]] | Mapeamento de conexões de rede da vítima | | Domain Account Discovery | [[t1087-002-domain-account\|T1087.002]] | Busca de contas de administrador de domínio | | Local Account Discovery | [[t1087-001-local-account\|T1087.001]] | Enumera contas locais na máquina comprometida | | Process Discovery | [[t1057-process-discovery\|T1057]] | Identificação de processos e serviços em execução | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell para movimentação lateral | | Match Legitimate Name | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Malware disfarçado como processos legítimos | ## Relevância para o Brasil e LATAM > [!latam] Primeiro APT Lusófono - Ameaça com Nexo Brasileiro > O Poseidon Group tem relevância direta para o Brasil: a Kaspersky identificou que o código do malware foi compilado em ambiente com configuração de Português do Brasil, tornando este o primeiro grupo APT com aparente nexo brasileiro documentado em pesquisa pública. Aspectos críticos para o Brasil: - **Nexo brasileiro fortemente sugerido**: Compilação em Português-BR, foco em sistemas com português e inglês, alvos distribuídos globalmente — padrão compatível com operador baseado no Brasil com clientes internacionais - **Modelo de extorsão replicável**: O esquema de chantagear empresas a contratar "serviços de segurança" pode ser usado por atores locais contra empresas brasileiras com menor maturidade de segurança - **Setores-alvo presentes no Brasil**: Setor bancário (Itaú, Bradesco, BB), governo federal, telecomúnicações (Claro, Vivo), energia (Petrobras, ELETROBRAS) — todos no perfil histórico do Poseidon - **Conexões de satélite como vetor de exfiltração**: Uso de satélite para evitar detecção sugere sofisticação operacional compatível com ator de nível estatal ou quase-estatal - **35+ empresas comprometidas**: Número real provavelmente maior — vítimas que pagaram pelo "serviço" podem nunca ter reportado o incidente ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | Credential dumping via LSASS por processo não autorizado | EDR: alertas para acesso ao LSASS por processos que não sejam ferramentas de segurança conhecidas | | Enumeração massiva de contas de domínio por estação de trabalho | SIEM: alertas para ldap queries de busca de contas admin executadas por processo de usuário | | Transferência de dados via conexão satélite incomum | NDR: monitorar tráfego de saída em horários incomuns para protocolos de satélite | | PowerShell executando net user /domain ou similar | SIEM: alertas para comandos de enumeração de domínio via PowerShell | ## Referências - [1](https://securelist.com/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/73673/) Kaspersky Securelist - Poseidon Group: A Targeted Attack Boutique (2016) - [2](https://attack.mitre.org/groups/G0033/) MITRE ATT&CK - Poseidon Group G0033 - [3](https://securityaffairs.com/44402/cyber-crime/poseidon-group-attacks.html) Security Affairs - Poseidon Group: a single actor behind long series of attacks (2016) - [4](https://docs.rapid7.com/insightidr/poseidon-group/) Rapid7 InsightIDR - Poseidon Group Threat Profile **Grupo notável:** Primeiro APT de língua portuguesa documentado, com possível nexo no Brasil **Setores alvejados:** [[financial|Financeiro]] · [[government|Governo]] · [[telecommunications|Telecomúnicações]] · [[energy|Energia]]