g0038-stealth-falcon

# Stealth Falcon > [!high] APT dos EAU - Vigilancia de Jornalistas, Ativistas e Dissidentes > **Stealth Falcon** (também rastreado como **Project Raven**) e um grupo de espionagem ligado ao governo dos **Emirados Arabes Unidos**, ativo desde 2012 com foco em vigilancia de jornalistas investigativos, ativistas politicos e dissidentes criticos ao regime do EAU. O grupo e notorio pelo caso **Project Raven**, em que ex-operativos da NSA foram contratados para operar espionagem cibernetica para os EAU - um dos casos mais documentados de **hackers-para-contratar governamentais**. ## Visão Geral Stealth Falcon foi identificado pela primeira vez pela Citizen Lab em 2016, investigando um caso de espionagem contra ativistas emiradenses. A pesquisa revelou uma sofisticada infraestrutura de C2 e um backdoor customizado (referênciado como "Stealth Falcon Backdoor") projetado para coletar credenciais, fazer reconhecimento de sistema e exfiltrar dados discretamente. O caso ganhou dimensao internacional em 2019 quando Reuters e investigadores independentes revelaram a existencia do **Project Raven** - uma unidade de ciberespionagem secreta dos EAU que recrutou dezenas de ex-operativos da NSA americana para conduzir espionagem cibernetica usando a plataforma **Karma** (derivada de exploits iOS de zero-click). Os alvos nao eram apenas opositores dos EAU: o grupo monitorou periodistas americanos, funcionaries de organizacoes internacionais e diplomatas de paises aliados. O grupo também foi associado ao uso da vulnerabilidade [[cve-2016-4657|CVE-2016-4657]] no WebKit do iOS - a mesma exploitada pelo spyware **Pegasus** da NSO Group - para comprometer dispositivos moveis. O uso de **zero-click exploits** em iOS posiciona o Stealth Falcon entre os poucos grupos nao-Tier1 com capacidade de comprometer iPhones sem interação do usuario, evidênciando acesso a recursos de inteligência de alto nivel. ## Evolução Operacional 2012-2025 ```mermaid graph TB A["2012-2015 Operacoes iniciais EAU Ativistas emiradenses"] --> B["2016 Citizen Lab exposure CVE-2016-4657 iOS exploit"] B --> C["2017-2019 Project Raven Ex-NSA recrutados para EAU"] C --> D["2019-2021 Karma platform Zero-click iOS espionagem"] D --> E["2022-2025 Rebranding pos-exposicao Operacoes continuadas - Qatar, Turquia"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#8e44ad,color:#fff style D fill:#922b21,color:#fff style E fill:#7b241c,color:#fff ``` ## Attack Flow - Vigilancia de Disidente ```mermaid graph TB A["Reconhecimento OSINT do alvo Jornalista / ativista"] --> B["Acesso Inicial Spear-phishing via iMessage ou link malicioso"] B --> C["Implante Backdoor PowerShell / WMI Credencial theft + discovery"] C --> D["Persistência Scheduled task T1053.005 - startup"] D --> E["Coleta de dados Browsers + credential stores T1555.003 + T1555.004"] E --> F["Exfiltração Canal C2 cifrado T1041 + T1573.001"] F --> G["Monitoramento continuo Comúnicacoes em tempo real Relatorio ao governo EAU"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff style G fill:#145a32,color:#fff ``` ## CVE Explorado | CVE | Produto | Impacto | |-----|---------|---------| | [[cve-2016-4657\|CVE-2016-4657]] | Apple WebKit (iOS Safari) | Zero-click RCE em iPhone; mesma cadeia do Pegasus | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1555-004-windows-credential-manager|T1555.004 - Windows Credential Manager]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Software Utilizado - [[stealth-falcon-backdoor|Stealth Falcon Backdoor]] ## Relevância para o Brasil e LATAM > [!medium] Risco para Jornalistas, Ativistas e Comunidades Arabe-Brasileiras > Stealth Falcon representa ameaça **específica e documentada** para categorias de alvos presentes no Brasil. O grupo monitora específicamente **jornalistas investigativos** que cobrem o Oriente Medio, **ativistas de direitos humanos** com conexoes internacionais e **dissidentes emiradenses ou sauditas** residentes no exterior - todas as categorias com representantes no Brasil. Cenários de risco concretos para o Brasil: 1. **Jornalistas** - Correspondentes e colaboradores brasileiros de veiculos como Folha de S.Paulo, O Globo e The Intercept Brasil que cobrem Oriente Medio, direitos humanos ou geopolitica islamica sao alvos de perfil exato do Stealth Falcon 2. **Comunidade arabe-brasileira** - O Brasil tem a maior diaspora arabe fora do Mundo Arabe (estimada em 15-20 milhões de descendentes); membros de comunidades com criticas a regimes do Golfo sao alvos potenciais 3. **ONGs de direitos humanos** - Organizacoes brasileiras com parceiros no Oriente Medio ou que documentam violacoes em paises do Golfo sao compativeis com o perfil de alvos historicos A exposicao do **Project Raven** demonstrou que governos contratam ex-hackers de inteligência para operar estas ferramentas - significando que o nivel tecnico e os recursos sao equivalentes a operações de estados Tier-1. ## Detecção e Defesa | Indicador | Técnica | Acao | |-----------|---------|------| | PowerShell com codificacao base64 em startup | T1059.001 | AMSI + PowerShell logging habilitado | | Scheduled task com nome de servico Windows | T1053.005 | Auditoria de tasks - verificar assinatura do criador | | Acesso a Windows Credential Manager por processo desconhecido | T1555.004 | EDR alerta para acesso DPAPI por processo nao esperado | | Exfiltração HTTP de processo sem UI | T1041 | Proxy inspection + DLP para uploads de processo sistema | | iOS Safari links suspeitos com redirect chains | CVE-2016-4657 | Sempre usar iMessage link preview OFF; update iOS | **Mitigacoes prioritarias:** Proteção de credenciais ([[m1043-credential-access-protection|M1043]]), treinamento de jornalistas em higiene digital ([[m1017-user-training|M1017]]) e atualização de iOS/Safari ([[m1051-update-software|M1051]]). ## Referências - [1](https://attack.mitre.org/groups/G0038/) MITRE ATT&CK - Stealth Falcon (G0038) - [2](https://citizenlab.ca/2016/05/stealth-falcon/) Citizen Lab - Stealth Falcon: Targeting UAEians (2016) - [3](https://www.reuters.com/investigates/special-report/usa-spying-raven/) Reuters - Project Raven: Ex-NSA Operatives Helped UAE Spy on Dissidents - [4](https://www.welivesecurity.com/2019/09/11/stealth-falcon-backdoor-analysis/) ESET WeLiveSecurity - Stealth Falcon Backdoor Analysis