# APT35 > [!high] Grupo iraniano de espionagem vinculado ao IRGC > APT35, também conhecido como Charming Kitten e Magic Hound, é um ator de ameaça patrocinado pelo Estado iraniano e vinculado à Guarda Revolucionária Islâmica (IRGC). Especializado em engenharia social avançada, roubo de credenciais e espionagem de longo prazo, o grupo é considerado um dos mais sofisticados e prolíficos atores de ameaça do Oriente Médio. > [!latam] Relevância para o Brasil e América Latina > O APT35 não possui histórico documentado de operações diretas no Brasil. Contudo, jornalistas, acadêmicos e organizações de direitos humanos com cobertura do Oriente Médio, além de entidades diplomáticas com relações bilaterais com o Irã, devem estar cientes do risco. A métodologia de engenharia social do grupo — personas falsas convincentes em redes sociais — é facilmente adaptável ao contexto brasileiro. ## Visão Geral O **APT35**, rastreado sob múltiplos aliases como **Charming Kitten**, **Magic Hound**, **Phosphorus**, **TA453** e **Mint Sandstorm**, é um grupo de espionagem cibernética patrocinado pelo **Estado iraniano** e atribuído à **Guarda Revolucionária Islâmica (IRGC)**. Registrado no MITRE ATT&CK como **G0059**, o grupo está ativo desde pelo menos 2011 e é considerado um dos atores de ameaça mais persistentes e versáteis do cenário global. O APT35 é reconhecido por campanhas de engenharia social extremamente elaboradas: cria personas falsas convincentes nas redes sociais, mantém conversas de longo prazo com alvos antes de entregar payloads maliciosos e personaliza cada abordagem ao perfil individual da vítima. Essa métodologia "slow burn" — paciência operacional de semanas ou meses — diferencia o grupo de atores mais oportunistas. A motivação central é coleta de inteligência estratégica em suporte aos objetivos da República Islâmica: vigilância de dissidentes iranianos no exterior, espionagem contra governos adversários (especialmente Israel e EUA), monitoramento de jornalistas e pesquisadores de direitos humanos, e comprometimento de infraestrutura de e-mail de alto valor. O grupo também demonstrou interesse em pesquisa nuclear e acordos diplomáticos que afetam o Irã. Para o Brasil e a América Latina, o APT35 não possui histórico documentado de operações diretas. No entanto, representa risco relevante para jornalistas, ativistas de direitos humanos e pesquisadores acadêmicos com contatos no Oriente Médio, além de entidades governamentais com relações diplomáticas com o Irã ou com países alvos do grupo. ## TTPs Principais | Tática | Técnica | ID MITRE | Descrição | |--------|---------|----------|-----------| | Acesso Inicial | Spear-phishing | T1566.001 | E-mails altamente personalizados; lures de convites de conferência | | Persistência | Web Shell | T1505.003 | Webshells em OWA (m.aspx, config.aspx) | | Persistência | Windows Service | T1543.003 | Cyclops como serviço Windows (ExchangeBackup) | | Evasão | Modify MFA | T1556.006 | Desativação do SafenetAgent no OWA | | Evasão | Clear History | T1070.003 | Limpeza de histórico de navegador pós-operação | | C2 | Encrypted Channel | T1573.002 | Canal C2 assimétrico do Cyclops | | C2 | Protocol Tunneling | T1572 | RDP sobre SSH via PuTTY modificado | | Coleta | Email Collection | T1114.001 | PowerShell Get-Mailbox, New-MailboxExportRequest | | Coleta | Archive Data | T1560.001 | Compressão com 7-Zip antes da exfiltração | | Exfiltração | Alt Protocol | T1048.002 | Exfiltração via canal SSH assimétrico | | Descoberta | Account Discovery | T1087.001 | net user, net group "domain admins" | ## Attack Flow ```mermaid graph TB A["🎭 Engenharia Social<br/>Persona falsa + contato<br/>de semanas/meses"] --> B["📧 Acesso Inicial<br/>Spear-phishing personalizado<br/>Links credential harvesting"] B --> C["🌐 Comprometimento Web<br/>Webshell OWA / Exchange<br/>Desativação de MFA"] C --> D["🔧 Persistência<br/>Cyclops como serviço<br/>Windows ExchangeBackup"] D --> E["📬 Coleta de E-mails<br/>PowerShell Export-Mailbox<br/>Compressão 7-Zip"] E --> F["📤 Exfiltração<br/>Canal SSH assimétrico<br/>Limpeza de rastros"] classDef social fill:#9b59b6,color:#ecf0f1 classDef access fill:#e74c3c,color:#ecf0f1 classDef web fill:#e67e22,color:#ecf0f1 classDef persist fill:#2c3e50,color:#ecf0f1 classDef collect fill:#3498db,color:#ecf0f1 classDef exfil fill:#e74c3c,color:#ecf0f1 class A social class B access class C web class D persist class E collect class F exfil ``` ## Campanhas Notáveis ### Operação POWERTON (2018-2019) Uma das campanhas mais documentadas do APT35, utilizando o malware **POWERTON** — um RAT baseado em PowerShell — contra organizações governamentais e de defesa no Oriente Médio. O POWERTON utiliza protocolos legítimos de comunicação para camuflar o tráfego C2. ### Operação HYPERSCRAPE (2022) O grupo desenvolveu a ferramenta **HYPERSCRAPE**, um utilitário customizado para extração automatizada de e-mails de contas Gmail, Yahoo e Outlook de alvos comprometidos. A ferramenta foi documentada pelo Google TAG em 2022 e reflete a obsessão do grupo com coleta de correspondências. ### Campanha NokNok (2023) Em 2023, o APT35 foi vinculado a campanhas utilizando o backdoor **NokNok** contra usuários de macOS — uma expansão do arsenal do grupo para além do Windows. As campanhas utilizaram servidores VPN falsos como vetor de entrega. ### Ataque ao Exchange (2024) Intrusões documentadas contra servidores Microsoft Exchange no Oriente Médio utilizando webshells customizadas e o backdoor **Cyclops**, que se instala como serviço Windows com nome "ExchangeBackup" para mimetizar processo legítimo. O ataque incluía desativação de MFA e tunelamento de RDP via SSH. ### Targeting de Acadêmicos e Jornalistas O APT35 mantém operações persistentes contra jornalistas, acadêmicos e especialistas em política externa que cobrem o Irã, utilizando personas falsas de "think tanks" e convites para conferências acadêmicas como isca. ## Malware Utilizado | Malware | Tipo | Plataforma | Notas | |---------|------|-----------|-------| | [[powerton\|POWERTON]] | RAT PowerShell | Windows | C2 via protocolos legítimos | | [[hyperscrape\|HYPERSCRAPE]] | Extrator de e-mail | Windows | Coleta automatizada de Gmail/Yahoo/Outlook | | [[noknok\|NokNok]] | Backdoor | macOS | Expansão multiplataforma do arsenal | | [[cyclops-backdoor\|Cyclops]] | Backdoor | Windows | Serviço Windows com C2 assimétrico | | [[ruler\|RULER]] | Framework | Windows | Abuso de regras de Exchange | ## Detecção e Defesa **Indicadores comportamentais a monitorar:** - Criação de serviços Windows com nomes que imitam processos legítimos (ExchangeBackup, etc.) - Uso de PowerShell para exportação de caixas de correio Exchange (Get-Mailbox, New-MailboxExportRequest) - Webshells em diretórios OWA (/owa/, /aspnet_client/) - Conexões SSH de saída de servidores Exchange (comportamento anômalo) - Desativação ou modificação de agentes MFA em servidores OWA **Mitigações recomendadas:** - Implementar MFA resistente a phishing (chaves de segurança hardware) em todas as contas críticas ([[m1032-multi-factor-authentication|M1032]]) - Monitorar e alertar sobre criação de serviços Windows por processos não padrão ([[m1022-restrict-file-permissions|M1022]]) - Habilitar auditoria de acesso ao Exchange e monitoramento de regras de caixa de correio - Bloquear conexões PowerShell remoto não autorizadas ([[m1026-privileged-account-management|M1026]]) - Treinar equipes para identificar engenharia social de longo prazo e personas falsas em redes sociais ## Relevância LATAM O APT35 não tem histórico documentado de operações diretas contra organizações brasileiras ou latino-americanas. O foco do grupo é o Oriente Médio, com operações secundárias nos EUA, Europa e comunidades de diáspora iraniana. Contudo, os seguintes perfis no Brasil e na LATAM devem estar cientes do risco: - **Jornalistas e acadêmicos** com cobertura do Oriente Médio ou vínculos com organizações de direitos humanos internacionais - **Organizações diplomáticas** com relacionamento bilateral com o Irã ou países do Golfo Pérsico - **Pesquisadores de segurança nuclear** ou analistas de política externa para a região - **Comunidade de diáspora iraniana** no Brasil (estimada em dezenas de milhares de pessoas) A métodologia de engenharia social do APT35 — personas convincentes em LinkedIn e e-mail, convites para conferências — é facilmente adaptável a contextos brasileiros e representa um vetor de risco real para os perfis acima. ## Referências - [MITRE ATT&CK: G0059 - Magic Hound](https://attack.mitre.org/groups/G0059/) - [Vectra AI: APT35 Profile](https://www.vectra.ai/modern-attack/threat-actors/apt35) - [Malpedia: APT35](https://malpedia.caad.fkie.fraunhofer.de/actor/apt35) - [BrandDefense: APT35/Charming Kitten](https://brandefense.io/blog/apt35-charming-kitten/) - [Nerium: Outsmarting Charming Kitten](https://www.nerium.nl/blogs/outsmarting-a-charming-kitten-nl) - [Cloudsek: IRGC-linked APT35 Operations](https://www.cloudsek.com/blog/an-insider-look-at-the-irgc-linked-apt35-operations)