g0052-copykittens - RunkIntel

# CopyKittens > [!high] APT Iraniano - Espionagem Diplomatica e Contra-Dissidencia > **CopyKittens** e um grupo de espionagem cibernética iraniano ativo desde 2013, responsavel pela campanha **Operation Wilted Tulip** contra alvos governamentais em Israel, Turquia, Arabia Saudita e EUA. O grupo combina ferramentas comerciais como **Cobalt Strike** e **Empire** com o backdoor customizado **Matryoshka** para espionagem de longo prazo em organizacoes diplomaticas e de defesa. ## Visão Geral CopyKittens e um grupo APT atribuido com alta confiança a atores alinhados com o governo iraniano, rastreado desde pelo menos 2013 por pesquisadores da ClearSky, Trend Micro e Microsoft. O grupo opera com duplo mandato: **espionagem geopolitica** contra governos adversarios do Ira (primariamente Israel, Turquia e Arabia Saudita) e **vigilancia de dissidentes** contra cidadaos iranianos no exterior e minorias etnicas. A **Operation Wilted Tulip**, documentada conjuntamente pela ClearSky e Trend Micro em 2017, revelou a amplitude das operações do grupo: campanhas de spear-phishing com documentos Word maliciosos entregues a funcionarios governamentais, parlamentares e academicos em pelo menos 7 paises simultaneamente. A operação usou infraestrutura de C2 distribuida através de proxies em múltiplas regioes para dificultar atribuicao. O diferencial tecnico do CopyKittens e a **combinacao de ferramentas comerciais com malware customizado**: o uso de [[s0154-cobalt-strike|Cobalt Strike]] e [[s0363-empire|Empire]] (frameworks ofensivos legitimos usados por pentesters) misturado ao backdoor proprietario [[s0167-matryoshka|Matryoshka]] cria uma cadeia de ataque em que parte do arsenal e compartilhado com outros grupos e parte e única - complicando o rastreamento e a atribuicao. O [[s0164-tdtess|TDTESS]] e um tool de exfiltração customizado usado específicamente contra alvos de interesse critico. ## Evolução Operacional 2013-2025 ```mermaid graph TB A["2013-2015 Operacoes iniciais Israel + Turquia targets"] --> B["2016-2017 Operation Wilted Tulip 7 paises simultaneos"] B --> C["2018-2020 Rebranding e adaptacao Microsoft rastreia como Crimson Sandstorm"] C --> D["2021-2023 Focus diplomatico Sanitary cordon Israel-Iran"] D --> E["2024-2025 Operacoes pos-Gaza Alvos de relacoes internacionais"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#7b241c,color:#fff ``` ## Attack Flow - Operation Wilted Tulip ```mermaid graph TB A["Preparação Obtencao ferramentas T1588.002 + Code signing"] --> B["Entrega Spear-phishing diplomatico T1566.001 - Word malicioso"] B --> C["Execução PowerShell via Rundll32 T1218.011 + T1059.001"] C --> D["Evasão Janela oculta T1564.003 - processo fantasma"] D --> E["C2 via Proxy Matryoshka backdoor T1090 - multi-hop proxy"] E --> F["Coleta e Arquivo Custom archive method T1560.003 - exfiltração"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff ``` ## Arsenal Tecnico | Ferramenta | Categoria | Uso no CopyKittens | |-----------|-----------|-------------------| | [[s0154-cobalt-strike\|Cobalt Strike]] | Framework ofensivo | Acesso inicial e movimento lateral; beaconing | | [[s0363-empire\|Empire]] | Framework PowerShell | Execução pos-comprometimento, persistência | | [[s0167-matryoshka\|Matryoshka]] | Backdoor customizado | C2 primario; exfiltração via proxy chains | | [[s0164-tdtess\|TDTESS]] | Exfiltration tool | Exfiltração seletiva de dados de alto valor | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - [[t1090-proxy|T1090 - Proxy]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] ## Software Utilizado - [[s0154-cobalt-strike|Cobalt Strike]] - [[s0363-empire|Empire]] - [[s0167-matryoshka|Matryoshka]] - [[s0164-tdtess|TDTESS]] ## Relevância para o Brasil e LATAM > [!medium] Risco Diplomatico Potencial para Entidades com Relacoes com Ira ou Israel > CopyKittens e outros grupos iraniano-alinhados tem demonstrado interesse em **entidades diplomaticas de paises neutros** que servem de intermediarios em negociacoes diplomaticas ou comerciais com o Ira. O Brasil, como potencia diplomatica independente com historico de mediacao internacional, pode estar no escopo de operações de espionagem diplomatica. Os cenários de risco concretos para o Brasil incluem: 1. **Missoes diplomaticas** - Embaixadas e consulados brasileiros no Oriente Medio (especialmente em Teera, Tel Aviv, Riade e Ancara) sao alvos potenciais conforme o grupo busca inteligência sobre negociacoes bilaterais 2. **Empresas com operações no Ira** - Companhias brasileiras que mantiveram comercio com o Ira após 2015 (período de sancoes parcialmente levantadas) foram documentadas como alvos de espionagem economica iraniana 3. **Academia e pesquisa** - Pesquisadores brasileiros de relacoes internacionais, Oriente Medio ou segurança internacional sao alvos de perfil compativel com operações CopyKittens documentadas A infraestrutura de proxy multi-hop usada pelo grupo e intencionalmente projetada para dificultar atribuicao geografica - ataques contra alvos brasileiros dificilmente deixariam rastros diretos até a infraestrutura iraniana. ## Detecção e Defesa | Indicador | Técnica | Acao | |-----------|---------|------| | Cobalt Strike beacon - jitter padrao | T1588.002 | Detecção de beacon C2 via SIEM (JA3 fingerprint) | | PowerShell via Rundll32 incomum | T1218.011 | EDR behavioral - Rundll32 invocando powershell.exe | | Processo sem janela com conexão de rede | T1564.003 | Monitorar processos de rede sem janela visivel | | Archive customizado em pasta temporaria | T1560.003 | DLP - arquivos comprimidos criados fora de apps | | Certificado assinado em executavel desconhecido | T1553.002 | Verificação de revogacao de certificados | **Mitigacoes prioritarias:** Restricao de PowerShell ([[m1042-disable-or-remove-feature-or-program|M1042]]), proteção de email com DMARC/DKIM ([[m1054-software-configuration|M1054]]) e MFA ([[m1032-multi-factor-authentication|M1032]]). ## Referências - [1](https://attack.mitre.org/groups/G0052/) MITRE ATT&CK - CopyKittens (G0052) - [2](https://www.clearskysec.com/wp-content/uploads/2017/07/Operation_Wilted_Tulip.pdf) ClearSky + Trend Micro - Operation Wilted Tulip (2017) - [3](https://www.microsoft.com/en-us/security/blog/2023/09/14/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets/) Microsoft MSTIC - Rastreamento Grupo Iraniano (Crimson Sandstorm) - [4](https://blog.trendmicro.com/trendlabs-security-intelligence/operation-wilted-tulip-exposing-a-sophisticated-iranian-cyber-espionage-apparatus/) Trend Micro - Operation Wilted Tulip: Aparato de Espionagem Iraniano