g0059-magic-hound - RunkIntel

# Magic Hound > [!danger] APT35 / Charming Kitten - Espionagem do IRGC Iraniano > Magic Hound (APT35, Charming Kitten) e o principal grupo de espionagem cibernetica do **Corpo da Guarda Revolucionaria Islamica (IRGC)** do Ira. Ativo desde pelo menos 2014, o grupo combina engenharia social altamente personalizada com implantes avancados como BellaCiao para atacar governos, academicos, pesquisadores de politica e dissidentes. Em 2025, documentos internos vazaram revelando a amplitude operacional do grupo. A campanha contra Israel em meados de 2025 demonstrou uso inovador de **Google Sites como plataforma de phishing** e **PDFs gerados por IA** para personificar entidades academicas e diplomaticas. ## Visão Geral **Magic Hound** (também rastreado como APT35, Charming Kitten, Phosphorus, TA453 e Mint Sandstorm) e um grupo de ameaça persistente avancada patrocinado pelo Estado iraniano, operado sob o **IRGC - Corpo da Guarda Revolucionaria Islamica**. Ativo desde pelo menos 2014, o grupo executa campanhas de espionagem de longa duracao contra funcionarios governamentais, militares, academicos, jornalistas e organizacoes internacionais como a OMS e a ONU. **Visao estrutural:** - Origem: Ira - IRGC (nao Ministerio de Inteligência/VAJA, que opera via [[g0069-mango-sandstorm|MuddyWater]] e [[g0087-apt39|APT39]]) - Motivacao: espionagem estratégica (informações nucleares, sancoes, politica externa) + vigilancia de dissidentes - Período: 2014 até o presente - mais de 10 anos de atividade documentada - Perfil de alvos: academicos, think tanks, jornalistas, diplomaticos, representantes de ONG - Relevância para Israel: grupo mais ativo na ofensiva cibernetica contra Israel pos-outubro 2023 **Em 2025, o CloudSEK públicou análise de documentos internos vazados** do grupo, revelando infraestrutura operacional, listas de alvos e procedimentos internos de selecao de vitimas - uma jánela rara para dentro de uma operação do IRGC. ```mermaid graph TB A["Reconhecimento OSINT - LinkedIn, academia Perfil detalhado do alvo"] --> B["Engenharia Social Email de pesquisador falso Convite para conferencia"] B --> C["Phishing Adaptativo Google Sites + PDFs IA Paginas falsas de login M365"] C --> D["Acesso Inicial MFA bypass ou credenciais T1566.001 + T1589.001"] D --> E["Implantação BellaCiao C++ ou CharmPower PowerLess backdoor"] E --> F["Persistência Registry Run Keys Scheduled Tasks - T1547.001"] F --> G["Exfiltração Protocolo tunneling FRP Dados estratégicos e OSINT"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#e67e22,color:#fff style E fill:#8e44ad,color:#fff style F fill:#2980b9,color:#fff style G fill:#196f3d,color:#fff ``` ## Campanhas Recentes (2024-2026) ### Campanha contra Israel - Mid-2025 Em resposta direta ao conflito Gaza-Israel iniciado em outubro de 2023, o Magic Hound intensificou operações contra alvos israelenses, americanos e europeus relacionados ao conflito: **Inovacoes táticas identificadas:** - **Google Sites como plataforma de phishing**: criação de paginas falsas de registro para conferencias academicas e diplomaticas, hospedadas em sites.google.com para contornar filtros de URL - **PDFs gerados por IA**: documentos convincentes personificando universidades israelenses (Technion, Hebrew University) e organizacoes internacionais - **Paginas falsas de login Microsoft 365 e Google**: coleta de credenciais via lookalike domains com certificados SSL válidos - Foco em pesquisadores academicos israelenses, jornalistas e funcionarios de ONG com acesso a informações sensiveis sobre o conflito ### BellaCiao - Implante C++ Avancado (2024) Variante C++ do implante BellaCiao identificada em campanhas de 2024, com capacidades expandidas: - Comúnicação C2 via HTTPS com rotacao de dominio automatizada - Módulo de captura de tela persistente com compressao - Keylogger integrado resistente a reinicializacao - Capacidade de persistência via servico Windows mascarado como ferramenta legitima ### Documentos Internos Vazados - CloudSEK (Outubro 2025) Análise do CloudSEK de dados internos vazados revelou: - Listas de alvos categorizadas por pais, afiliacao e nivel de interesse - Procedimentos operacionais padronizados para spear-phishing personalizado - Infraestrutura VPS compartilhada com outros grupos do IRGC ### Campanha Contra OMS e Organizacoes de Saúde (2021-2023) O grupo explorou a pandemia de COVID-19 para atacar pesquisadores da OMS, laboratorios farmaceuticos e academicos de saúde: - Phishing com temas de pesquisa COVID-19 e convites para conferencias medicas - Comprometimento de credenciais de pesquisadores com acesso a dados de vacinas e medicamentos - CVEs explorados: [[cve-2021-26084|CVE-2021-26084]] (Confluence), [[cve-2021-34473|CVE-2021-34473]] (Exchange ProxyShell) ## Arsenal (2024-2026) | Ferramenta | Tipo | Função | |-----------|------|--------| | [[bellaciao\|BellaCiao]] | Implante C++ | Backdoor persistente com C2 HTTPS - captura de tela, keylogging | | [[s0674-charmpower\|CharmPower]] | Backdoor modular | Framework de pos-comprometimento com múltiplos módulos | | [[s1012-powerless\|PowerLess]] | Backdoor PowerShell | Execução de comandos remota, evasão de AV | | [[s1144-frp\|FRP]] | Proxy reverso | Fast Reverse Proxy para tunneling C2 encoberto | | [[mimikatz\|Mimikatz]] | Credential dumper | Coleta de hashes NTLM e tickets Kerberos | | [[s0357-impacket\|Impacket]] | Framework de rede | Movimento lateral, execução remota de comandos | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------|| | Reconhecimento | Credentials | [[t1589-001-credentials\|T1589.001]] | Pesquisa intensiva de credenciais públicas e OSINT de alvos | | Resource Dev | Email Accounts | [[t1585-002-email-accounts\|T1585.002]] | Criação de contas de email falsas personificando pesquisadores | | Initial Access | Spearphishing | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos com lures academicos e diplomaticos | | Persistence | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência via Run Keys para BellaCiao e CharmPower | | Credential Access | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de keystrokes em sessions de usuario | | Exfiltration | Web Service | [[t1567-exfiltration-over-web-service\|T1567]] | Exfiltração via servicos web legitimos (Dropbox, OneDrive) | | C2 | Protocol Tunneling | [[t1572-protocol-tunneling\|T1572]] | FRP para criar tuneis encobertos de C2 | ## Timeline ```mermaid timeline title Magic Hound - Linha do Tempo 2014 : Primeiras campanhas identificadas : Alvos diplomaticos e governamentais 2017 : Campanha "Newscaster" contra jornalistas 2019-2020 : Phishing contra pesquisadores de COVID : OMS e laboratorios farmaceuticos 2021 : Exploração CVE-2021-26084 Confluence : Campanha ProxyShell - Exchange Servers 2022 : CharmPower identificado em campo 2023 : Intensificacao pos-outubro contra Israel 2024 : BellaCiao C++ variante : Campanha Google Sites phishing 2025 : PDFs gerados por IA como lure : Documentos internos vazados - CloudSEK 2025-2026 : Campanha ativa contra alvos israelenses : Academicos e jornalistas ocidentais ``` ## Relevância para o Brasil e LATAM > [!warning] Risco Moderado - Alvos Diplomaticos e Academicos > O Magic Hound nao possui campanhas confirmadas contra alvos no Brasil ou LATAM. O perfil de alvos do grupo, contudo, cria vetores de risco potenciais para: (1) missoies diplomaticas brasileiras cobrindo o Oriente Medio; (2) pesquisadores academicos em universidades brasileiras com colaboracoes internacionais em areas de politica externa ou energia nuclear; (3) ONGs com atuacao em regiao de interesse iraniano (segurança internacional, direitos humanos). **Cenários de risco para o Brasil:** - Pesquisadores do IPEN (Instituto de Pesquisas Energeticas e Nucleares) ou areas correlatas - Diplomaticos do Itamaraty com cobertura sobre Oriente Medio e programa nuclear iraniano - Academicos em universidades federais com públicacoes sobre geopolitica do Golfo Persico - Jornalistas brasileiros que cobrem conflito Israel-Palestina ativamente **Vetor principal de risco**: campanhas de engenharia social via LinkedIn ou email academico, com convites para conferencias falsas ou solicitacoes de colaboracao de pesquisa. A sofisticacao crescente com PDFs gerados por IA torna os lures mais convincentes do que nunca. ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Conexoes saindo para sites.google.com incomuns | Monitoramento de DNS e categorias de URL | | Arquivos PDF com metadata de criação IA generativa | Análise de metadata de documentos recebidos | | Processos PowerShell codificados em base64 | Regras SIEM/EDR para execução de PS ofuscado | | FRP (fast reverse proxy) executando em endpoints | Detecção de binarios suspeitos nao-corporativos | | Emails de convite de conferencia com links para drive.google.com | Gateway de email com análise de link | | Registro de tarefas agendadas incomuns com paths de usuario | Monitoramento de criação de Scheduled Tasks | ## Referências - [1](https://attack.mitre.org/groups/G0059/) MITRE ATT&CK - G0059 Magic Hound (2024) - [2](https://www.cloudSEK.com/blog/magic-hound-internal-docs-leaked) CloudSEK - Internal Magic Hound/APT35 Documents Leaked (Oct 2025) - [3](https://www.proofpoint.com/us/blog/threat-insight/ta453-targets-jewish-leader) Proofpoint - TA453 Targets Jewish Leader With New Multi-Persona Phishing (2023) - [4](https://www.microsoft.com/en-us/security/blog/2022/09/08/microsoft-investigates-iranian-attacks-against-the-albanian-government/) Microsoft - Mint Sandstorm Iranian Attacks vs Albanian Government (2022) - [5](https://www.mandiant.com/resources/blog/apt35-charming-kitten-2024) Mandiant - APT35 Charming Kitten 2024 Tactics (2024) - [6](https://unit42.paloaltonetworks.com/bellaciao-implant-charming-kitten/) Unit 42 - BellaCiao: A Closer Look at Iran's New Implant (2024) **Atores relacionados:** [[g0087-apt39|APT39]] · [[g0069-mango-sandstorm|MuddyWater]] · [[g0049-oilrig|OilRig]] **Malware e ferramentas:** [[bellaciao|BellaCiao]] · [[s0674-charmpower|CharmPower]] · [[s1012-powerless|PowerLess]] · [[s1144-frp|FRP]] **TTPs principais:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1056-001-keylogging|T1056.001]] · [[t1572-protocol-tunneling|T1572]] · [[t1547-001-registry-run-keys-startup-folder|T1547.001]] **Setores alvejados:** [[government|Governo]] · [[research|Pesquisa]] · [[healthcare|Saúde]] · [[academia|Academia]] · [[media|Midia]]