g0043-group5 - RunkIntel

# Group5 > [!warning] Espionagem Política contra Oposição Síria - Watering Hole e RATs > O Group5 é um grupo de ameaça com suspeito nexo iraniano, documentado pelo **Citizen Lab** em 2016, que realizou espionagem sistemática contra indivíduos ligados à **oposição síria** — ativistas, jornalistas e membros de grupos de ajuda humanitária. O grupo combina watering holes em sites da oposição com phishing cultural usando [[s0385-njrat|njRAT]], [[s0336-nanocore|NanoCore]] e o RAT Android [[droidjack|DroidJack]], sugerindo monitoramento tanto de desktops quanto de dispositivos móveis. ## Visão Geral O **Group5** (G0043) é um grupo de ameaça documentado pelo **Citizen Lab** da Universidade de Toronto em outubro de 2016. A atribuição a nexo iraniano é considerada de confiança média — o Citizen Lab identificou sobreposições de infraestrutura com operações iranianas, mas não fez atribuição definitiva ao governo iraniano, mantendo o grupo como rastreamento independente. O alvo central do Group5 são indivíduos ligados à **oposição ao governo sírio**: membros dos Comitês de Coordenação Local (LCCs), jornalistas cobrindo o conflito, trabalhadores humanitários, e membros da oposição política. Em menor grau, o grupo também mirou ativistas iranianos, sugerindo duplo interesse (governo sírio como "cliente" ou grupo iraniano com interesse em controle de ativistas pró-Arábia Saudita ligados à oposição síria). Operacionalmente, o Group5 é técnicamente pouco sofisticado — usa RATs de mercado amplamente disponíveis ([[s0385-njrat|njRAT]], [[s0336-nanocore|NanoCore]]) e o RAT Android [[droidjack|DroidJack]]. A sofisticação está no **targeting e na engenharia social**: os temas de phishing são altamente contextualizados (conflito sírio, situação de refugiados, alertas de segurança para ativistas) e os watering holes são sites legítimos da oposição síria comprometidos. O Citizen Lab identificou infraestrutura vinculada ao site **assadcrimes.info** como parte da operação — um domínio criado para parecer um site de documentação de crimes do regime Assad, mas que na realidade distribuía malware para ativistas que o visitavam. O Group5 também demonstrou interesse em dispositivos móveis: o DroidJack para Android sugere que o grupo rastreava comúnicações de ativistas em smartphones — onde grande parte da organização da oposição síria ocorria via WhatsApp e Signal. ## Attack Flow - Espionagem de Ativistas Políticos ```mermaid graph TB A["Reconhecimento de Alvos Redes sociais da oposição síria Identificação de ativistas e jornalistas"] --> B["Watering Hole T1189 Sites da oposição comprometidos assadcrimes.info como isca"] B --> C["Phishing Contextual T1566.001 Temas sírios Alertas segurança para ativistas"] C --> D["Entrega RAT T1204.002 njRAT NanoCore DroidJack Android"] D --> E["Persistência T1547.001 Registry Run Keys Autostart no Windows"] E --> F["Coleta de Dados T1056.001 Keylogging T1113 Screenshots T1115 Clipboard"] F --> G["Exfiltração T1070.004 Remoção de rastros Comúnicações da oposição exfiltradas"] style A fill:#1a5276,color:#fff style B fill:#e67e22,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#16a085,color:#fff style G fill:#196f3d,color:#fff ``` ## Arsenal Técnico | Ferramenta | Tipo | Plataforma | Função | |-----------|------|-----------|--------| | [[s0385-njrat\|njRAT]] | RAT público | Windows | Keylogging, captura de tela, acesso remoto, roubo de credenciais | | [[s0336-nanocore\|NanoCore]] | RAT público | Windows | RAT modular com plugins de keylogging e webcam | | [[droidjack\|DroidJack]] | RAT Android | Android | Monitoramento de chamadas, SMS, localização GPS, microfone | | assadcrimes.info | Infraestrutura isca | Web | Watering hole disfarçado de site de documentação de crimes | ## Técnica - Watering Hole em Sites de Oposição ```mermaid graph TB A["Grupo compromete site legítimo da oposição síria (watering hole) Visitantes são ativistas reais"] --> B["Script malicioso injetado Detecta OS e browser do visitante Serve payload específico"] B --> C{Desktop ou Mobile?} C -->|Windows| D["njRAT ou NanoCore Entregue via drive-by ou download disfarçado"] C -->|Android| E["DroidJack APK Disfarçado de app da oposição síria"] D --> F["Monitoramento desktop Keylogging screenshots Comúnicações coletadas"] E --> G["Monitoramento mobile SMS localização GPS Chamadas interceptadas"] style A fill:#e67e22,color:#fff style D fill:#c0392b,color:#fff style E fill:#8e44ad,color:#fff style F fill:#196f3d,color:#fff style G fill:#196f3d,color:#fff ``` ## Timeline ```mermaid timeline title Group5 - Cronologia 2013 : Primeiras atividades suspeitas : Oposição síria como alvo inicial 2013-2015 : Campanha ativa : njRAT e NanoCore contra ativistas : Watering holes em sites oposição 2015-2016 : DroidJack adicionado : Expansão para dispositivos Android : assadcrimes.info infraestrutura ativa 2016-10 : Citizen Lab publica pesquisa : Group5 documentado e nomeado 2016+ : Atividade não rastreada : Possível cessação ou mudança de infra ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Watering holes em sites da oposição síria | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos com temas do conflito sírio | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | RATs disfarçados como documentos ou aplicativos legítimos | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | njRAT e NanoCore capturam todas as teclas | | Screen Capture | [[t1113-screen-capture\|T1113]] | Screenshots regulares para monitoramento | | Obfuscated Files | [[t1027-013-encryptedencoded-file\|T1027.013]] | Payloads ofuscados/criptografados | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Remoção de artefatos após execução | | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência de njRAT/NanoCore no Windows | ## Relevância para o Brasil e LATAM > [!latam] Modelo Replicável para Vigilância Política em LATAM > O Group5 é pedagogicamente importante para o Brasil e LATAM: demonstra como grupos com **poucos recursos técnicos** podem montar operações de vigilância eficazes contra ativistas políticos usando RATs públicos e engenharia social culturalmente adaptada. Venezuela, Cuba, Nicarágua e outros regimes têm motivação análoga para monitorar oposição e jornalistas. Aspectos de risco para o Brasil e LATAM: - **Ativistas e jornalistas brasileiros**: O modelo Group5 — RATs de mercado + phishing contextual + watering holes — é facilmente replicável por qualquer ator com motivação política. Jornalistas investigativos cobrindo crime organizado, corrupção, ou governos autoritários regionais são alvos viáveis - **Contexto Venezuela e Cuba**: Governos da região com capacidade ou interesse em monitorar oposição no exterior podem empregar táticas idênticas ao Group5 contra dissidentes em solo brasileiro - **DroidJack e Android**: Alta penetração de Android no Brasil torna o modelo mobile do Group5 diretamente aplicável — ativistas organizam protestos via WhatsApp e Telegram em dispositivos Android - **Watering holes em sites de notícias regionais**: A técnica de comprometer sites legítimos de oposição é escalável — sites de movimentos sociais brasileiros são candidatos a watering holes para monitoramento de ativistas - **Baixa sofisticação, alta efetividade**: O uso de njRAT e NanoCore (ferramentas com documentação pública) significa que qualquer grupo com motivação política pode replicar a operação do Group5 ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | njRAT: comunicação via DNS com domínio C2 | NDR: detecção de DNS beacons regulares de processos suspeitos | | NanoCore: processo em `%TEMP%` ou `%APPDATA%` com acesso a clipboard e teclado | EDR: comportamento de RAT - acesso a clipboard + captura de tela + keylogging | | DroidJack APK instalado fora da Play Store | MDM: alertas para sideloading de APKs não assinados | | Processo desconhecido criando chave em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` | SIEM: alertas para novas chaves de autostart criadas por processos suspeitos | | Site de notícias/ativismo retornando JavaScript ofuscado inesperado | WAF proxy: análise de conteúdo de sites visitados por usuários de alto risco | **Recomendações para ativistas e organizações em risco:** 1. Não baixar aplicativos fora da Google Play Store oficial 2. Usar browser atualizado com bloqueio de JavaScript de terceiros 3. Verificar processos em execução regularmente — njRAT e NanoCore deixam rastros em Task Manager 4. Educar sobre phishing contextual: documentos com temas de causas ativadas são a isca mais eficaz 5. Considerar uso de sistema operacional endurecido (Tails, Qubes OS) para comúnicações sensíveis ## Referências - [1](https://citizenlab.ca/2016/10/group5-syria/) Citizen Lab - Group5: Syria and the Iranian Connection (2016) - [2](https://attack.mitre.org/groups/G0043/) MITRE ATT&CK - Group5 G0043 - [3](https://malpedia.caad.fkie.fraunhofer.de/actor/group5) Malpedia - Group5 Actor Profile - [4](https://www.accessnow.org/cms/assets/uploads/2016/11/Group5-report-final-1.pdf) Access Now - Group5: Syria and the Iranian Connection (relatório completo) **Grupos relacionados:** [[g0137-ferocious-kitten|Ferocious Kitten]] · [[domestic-kitten|Domestic Kitten]] (outros grupos iranianos com foco em vigilância de ativistas) **Malware utilizado:** [[s0385-njrat|njRAT]] · [[s0336-nanocore|NanoCore]] · [[droidjack|DroidJack]] **Setores alvejados:** [[civil-society|Sociedade Civil]] · Ativismo político · Jornalismo de oposição