g0040-gaza-cybergang

# Gaza Cybergang > [!high] APT Palestino - Espionagem Geopolitica no Oriente Medio desde 2012 > **Gaza Cybergang** (também rastreado como **Molerats**, **WIRTE** e **Desert Falcon**) e um cluster de atividade cibernetica de origem palestina ativo desde 2012, especializado em espionagem contra governos, forcas de defesa e organizacoes diplomaticas em Israel, Egito, Turquia e paises do Oriente Medio. O grupo e operacionalmente fragmentado em subgrupos com diferentes niveis de sofisticacao técnica, compartilhando infraestrutura e foco geopolitico alinhado com interesses palestinos. ## Visão Geral Gaza Cybergang foi identificado pela primeira vez pela Kaspersky em 2012 e desde então e rastreado por múltiplas empresas de segurança sob diferentes apelidos - Molerats (CrowdStrike), WIRTE (Kaspersky), Desert Falcon (Kaspersky/Trend Micro) e Moonlight (Palo Alto). A fragmentacao de nomenclatura reflete a natureza modular do grupo: pesquisadores divergem sobre se sao uma entidade unificada ou um ecossistema de subgrupos com sobreposicao de infraestrutura e objetivos. O grupo opera com foco primario na espionagem geopolitica do conflito israelense-palestino: alvos incluem funcionarios do governo israelense, forcas de defesa, membros da Autoridade Palestina criticos ao Hamas, jornalistas cobrindo o conflito, e diplomaticos de paises envolvidos em mediacao. A **Operation Parliament** (2018, Kaspersky) revelou um nivel de sofisticacao incomum para o grupo: o ataque comprometeu parlamentares, diplomaticos e funcionarios de alto escalao em mais de 60 paises - sugerindo acesso a recursos e inteligência significativos. O arsenal do Gaza Cybergang e dominado por malware customizado desenvolvido internamente: [[s0339-micropsia|Micropsia]] (backdoor Windows de longa data), [[pierogi|Pierogi]] (backdoor com capacidade de captura de tela e exfiltração), [[g0090-wirte|WIRTE]] (implante furtivo de espionagem usado em operações 2019-2023) e [[xcrawl|XCrawl]] (crawler para coleta de dados locais). A sofisticacao técnica e inconsistente - o grupo alterna entre phishing básico e operações bem planejadas com implantes customizados, sugerindo múltiplos operadores com diferentes habilidades dentro do mesmo ecossistema. A partir de 2021, a Kaspersky passou a rastrear o subgrupo **WIRTE** separadamente, identificando campanhas de espionagem financeira e governamental no Oriente Medio com uso de Excel droppers e macros VBA para implantação do backdoor WIRTE. Em 2023-2025, o grupo continuou ativo durante o conflito de Gaza, com espionagem focada em entidades diplomaticas e de midia cobrindo o conflito. ## Mapa de Alvos - Gaza Cybergang ```mermaid graph TB A["Gaza Cybergang Ativo desde 2012 60+ paises impactados"] --> B["Oriente Medio Primario Israel, Palestina Egipto, Jordania, Iraq"] A --> C["Governos e Diplomacia Parlamentares Operation Parliament 2018"] A --> D["Defesa e Segurança Forcas armadas Agencias de inteligencia"] A --> E["Midia e Sociedade Civil Jornalistas do conflito ONGs de direitos humanos"] A --> F["Expansion 2019-2023 WIRTE: setor financeiro Bancos e seguradoras"] style A fill:#c0392b,color:#fff style B fill:#8e44ad,color:#fff style C fill:#2980b9,color:#fff style D fill:#e67e22,color:#fff style E fill:#117a65,color:#fff style F fill:#7b241c,color:#fff ``` ## Subgrupos e Evolução 2012-2025 ```mermaid graph TB A["2012-2014 Gaza Hackers Team Operacoes básicas - phishing"] --> B["2015-2017 Desert Falcon / Moonlight Mobile malware + backdoors"] B --> C["2018 Operation Parliament 60+ paises, alvos de alto nivel"] C --> D["2019-2021 WIRTE separado Excel droppers + implante furtivo"] D --> E["2022-2025 Ativo durante conflito Gaza Espionagem diplomatica intensificada"] style A fill:#1a5276,color:#fff style B fill:#2980b9,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#7b241c,color:#fff ``` ## Attack Flow - Operation Parliament (2018) ```mermaid graph TB A["Reconhecimento OSINT de alvos diplomaticos Parlamentares e funcionarios"] --> B["Acesso Inicial Spear-phishing contextualizado T1566.001 - documentos Conflito"] B --> C["Execução PowerShell + macros VBA T1059.001 - downloaders"] C --> D["Persistência Registry Run Keys T1547.001 - startup"] D --> E["Coleta de dados Micropsia/Pierogi Screenshots + arquivos locais"] E --> F["Exfiltração Canal HTTP/HTTPS C2 T1041 - beaconing regular"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff ``` ## Arsenal Técnico | Ferramenta | Categoria | Uso no Gaza Cybergang | |-----------|-----------|----------------------| | [[s0339-micropsia\|Micropsia]] | Backdoor Windows | Implante de longa data; keylog + exfiltração | | [[pierogi\|Pierogi]] | Backdoor | Screenshots + coleta de dados locais | | [[g0090-wirte\|WIRTE]] | Implante furtivo | Campanhas de espionagem financeira 2019-2023 | | [[xcrawl\|XCrawl]] | Crawler | Coleta de documentos e arquivos de interesse | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Software Utilizado - [[s0339-micropsia|Micropsia]] - [[pierogi|Pierogi]] - [[g0090-wirte|WIRTE]] - [[xcrawl|XCrawl]] ## Relevância para o Brasil e LATAM > [!low] Foco Exclusivo em Conflito Oriente Medio - Sem Historico Documentado no Brasil > Gaza Cybergang tem foco operacional exclusivo no conflito israelense-palestino e regiao do Oriente Medio. Nao ha historico documentado de operações contra o Brasil ou LATAM. Contudo, entidades brasileiras com conexoes diplomaticas ou comerciais significativas com Israel, Palestina ou Egito podem estar no escopo de operações de espionagem diplomatica. Cenários de risco residual para o Brasil: 1. **Embaixada do Brasil em Israel/Palestina** - A posicao diplomatica do Brasil no conflito (reconhecimento do Estado Palestino desde 2010, posicoes criticas a Israel em 2024) cria perfil de interesse para espionagem de posicionamento diplomatico 2. **ONGs de direitos humanos com foco em Gaza** - Organizacoes brasileiras que documentam o conflito e tem parceiros em Gaza/Cisjordania sao alvos de perfil historico do grupo 3. **Jornalistas correspondentes** - Correspondentes brasileiros em Tel Aviv, Cairo ou cobrindo o conflito remotamente sao alvos compatíveis com o padrao operacional de Desert Falcon/WIRTE 4. **Modelo de ameaça para espionagem geopolitica de baixo custo** - O arsenal do Gaza Cybergang demonstra que phishing contextualizado + malware customizado básico e suficiente para comprometer alvos diplomaticos de alto valor A Operation Parliament de 2018 demonstrou que o grupo tem capacidade de operar globalmente quando o objetivo justifica o esforco - 60+ paises comprometidos em uma única campanha. ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | Spear-phishing com documentos temáticos do conflito Israel-Palestina | T1566.001 | Gateway de email + sandboxing de documentos Office | | PowerShell de Word/Excel invocando download remoto | T1059.001 | AMSI + logging PowerShell + MDE behavioral rules | | Registry Run Key com nome de processo sistema | T1547.001 | Auditoria de startup entries - verificar assinatura | | Micropsia/Pierogi - processo sem UI fazendo beaconing | T1041 | EDR behavioral - processo de sistema com trafego nao esperado | | Excel com macro VBA baixando payload de URL externa | T1566.001 | Desabilitar macros automaticas em Office + AppLocker | **Mitigações prioritárias:** Desabilitar execução automática de macros Office ([[m1042-disable-or-remove-feature-or-program|M1042]]), treinamento de higiene digital para diplomaticos ([[m1017-user-training|M1017]]) e proteção de email com anti-phishing ([[m1049-antivirus-antimalware|M1049]]). ## Referências - [1](https://attack.mitre.org/groups/G0040/) MITRE ATT&CK - Molerats (G0040) - [2](https://securelist.com/gaza-cybergang-updated-2017-let-there-be-script/83585/) Kaspersky Securelist - Gaza Cybergang: Updated Activity 2017 - [3](https://securelist.com/operation-parliament-who-is-doing-what-in-the-middle-east/85237/) Kaspersky - Operation Parliament: Espionagem Diplomatica em 60 Paises (2018) - [4](https://securelist.com/wirte-threat-actor-middle-east/101908/) Kaspersky - WIRTE Threat Actor Targeting Middle East (2021) - [5](https://www.trendmicro.com/en_us/research/15/b/operation-arid-viper-slithers-back-into-view.html) Trend Micro - Desert Falcon: Operation Arid Viper (2015)