# Dark Caracal > [!warning] Espionagem Estatal Libanesa - Vigilância Móvel e Desktop em Escala Global > Dark Caracal é um grupo de ameaça atribuído à **Direção Geral de Segurança do Líbano (GDGS)** e operou uma das maiores campanhas de espionagem patrocinada por Estado já documentadas contra alvos em **21 países em 6 continentes**. O grupo é notório pelo uso de [[crossrat|CrossRAT]] - malware multiplataforma (Windows, macOS, Linux, Solaris) - e pelo [[s0182-finfisher|FinFisher]], spyware comercial. O relatório da EFF/Lookout de 2018 revelou que a infraestrutura de C2 estava fisicamente localizada em um prédio do GDGS em Beirute - evidência direta de operação estatal. ## Visão Geral O **Dark Caracal** foi exposto em janeiro de 2018 pelo EFF (Electronic Frontier Foundation) e pela empresa de segurança Lookout, em um relatório que revelou operações de espionagem em andamento desde pelo menos 2012. A atribuição ao GDGS libanês foi suportada por múltiplas evidências técnicas e de inteligência, incluindo a localização do servidor C2 principal. O que torna o grupo notável: - **Escala global sem precedentes para ator libanês**: 21 países em 6 continentes comprometidos, com vítimas documentadas no Brasil, EUA, Alemanha, França, Canadá e mais - **Multiplataforma**: CrossRAT foi específicamente desenvolvido para comprometer Windows, macOS e Linux - raro para um ator de estado de capacidade média - **Modelo de spyware comercial**: uso de FinFisher (da empresa alemã FinFisher GmbH) indica contratação de capacidades comerciais de vigilância - **Bandook**: RAT multiestágio com capacidades extensas de keylogging, screen capture e controle remoto - **Alvos de alto valor**: jornalistas, ativistas políticos, advogados, médicos e militares de múltiplos países O grupo opera em um modelo misto: spyware comercial (FinFisher) para alvos de alta prioridade e ferramentas customizadas (CrossRAT, Bandook) para operações de volume. A combinação de vigilância desktop e mobile em uma única operação centralizada distingue Dark Caracal de atores com capacidades mais estreitas. ## Attack Flow - Vigilância Desktop e Mobile ```mermaid graph TB A["Acesso Inicial<br/>T1566.003 phishing via Telegram/WhatsApp<br/>T1189 drive-by compromise"] --> B["Deploy Malware<br/>CrossRAT multi-plataforma<br/>Bandook ou FinFisher"] B --> C["Persistência<br/>T1547.001 registry run<br/>autostart em boot"] C --> D["Vigilancia Desktop<br/>T1113 screen capture<br/>T1083 file discovery"] D --> E["Coleta de Dados<br/>T1005 local system<br/>keylogging credenciais"] E --> F["Exfiltração<br/>T1071.001 HTTPS<br/>C2 em Beirute GDGS"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#196f3d,color:#fff ``` ## Alcance Global das Operações ```mermaid pie title Vítimas por Continente (2012-2018) "Oriente Médio e Norte da África" : 38 "América do Norte" : 22 "Europa Ocidental" : 18 "Ásia e Pacífico" : 12 "América Latina" : 6 "Outros" : 4 ``` ## Campanhas e Operações Notáveis | Data | Operação | Alvos | Detalhe | |------|---------|-------|---------| | 2012-2017 | Operações silenciosas | 21 países | Espionagem prolongada sem detecção pública | | 2015-2016 | Campanha Mobile Android | Ativistas MENA | Bandook em dispositivos Android via APKs falsas | | Ján 2018 | EFF/Lookout Disclosure | (pesquisa) | C2 em prédio GDGS em Beirute; 21 países expostos | | 2018-2019 | Continuidade pós-exposição | Oriente Médio | Infraestrutura alterada; operações continuaram | | 2020-2021 | Campanha Bandook Global | Governo, financeiro | Novas campanhas com Bandook reescrito | | 2022-2023 | Monitoramento continuado | Ativistas MENA | Relatórios de novas vítimas por grupos de direitos humanos | ## Arsenal Técnico | Ferramenta | Tipo | Características | |-----------|------|----------------| | [[crossrat\|CrossRAT]] | RAT multiplataforma | Windows, macOS, Linux, Solaris; acesso remoto, screen capture, download | | [[s0182-finfisher\|FinFisher]] | Spyware comercial | Suite de vigilância comercial alemã; keylogging, chamadas, câmera | | [[s0234-bandook\|Bandook]] | RAT multiestágio | 100+ comandos; controle remoto completo; usado em campanhas globais | ## TTPs em Detalhe ### Acesso Inicial - Spear-phishing via serviços de mensagem ([[t1566-003-spearphishing-via-service|T1566.003]]) - WhatsApp, Telegram, e mensagens de Facebook com links maliciosos - Drive-by compromise ([[t1189-drive-by-compromise|T1189]]) em sites comprometidos frequentados pelos alvos - Engenharia social personalizada baseada em perfis das vítimas (periodistas, ativistas) ### Evasão e Persistência - Pacote de software com compressão ([[t1027-002-software-packing|T1027.002]]) para evasão de AV - Arquivos codificados/criptografados ([[t1027-013-encryptedencoded-file|T1027.013]]) - Compiled HTML file ([[t1218-001-compiled-html-file|T1218.001]]) como entregador de payload - Registry run keys ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) para persistência entre reinicializações ### Coleta e Exfiltração - Screen capture ([[t1113-screen-capture|T1113]]) contínuo a intervalos regulares - Coleta de dados do sistema local ([[t1005-data-from-local-system|T1005]]) incluindo documentos, fotos e credenciais - File and directory discovery ([[t1083-file-and-directory-discovery|T1083]]) para identificação de arquivos de interesse - Exfiltração via HTTPS ([[t1071-001-web-protocols|T1071.001]]) para C2 em Beirute ## Timeline ```mermaid timeline title Dark Caracal - Linha do Tempo 2012 : Inicio das operações : GDGS Líbano operando 2015-2016 : Campanha Android MENA : ativistas e governo 2018-01 : EFF/Lookout disclosure : C2 em prédio GDGS exposto : 21 países, 6 continentes 2018-2019 : Continuidade pós-exposição : nova infraestrutura 2020-2021 : Bandook renovado : campanhas globais 2022-2023 : Operações continuadas : foco MENA e ativistas ``` ## Relevância para o Brasil e LATAM > [!warning] Brasil Confirmado como Alvo nas Campanhas de 2018 > Dark Caracal tem **relação direta com o Brasil** - o relatório EFF/Lookout de 2018 confirmou vítimas brasileiras nas campanhas do grupo. O Brasil aparece entre os 21 países com vítimas documentadas, possívelmente por interesse em cidadãos libaneses da diáspora no Brasil (uma das maiores do mundo) ou em organizações com conexões com o Oriente Médio. Contexto de risco para LATAM: - **Diáspora libanesa no Brasil**: O Brasil abriga mais de 10 milhões de descendentes de libaneses - ativistas, jornalistas e figuras políticas dessa comunidade são alvos naturais do GDGS - **Exportadores LATAM com operações no Oriente Médio**: empresas brasileiras com operações em países da Liga Árabe (especialmente JBS, Marfrig, empresas de petróleo com parceiros árabes) têm exposição ao modelo de espionagem corporativa estatal - **Modelo de vigilância móvel**: o uso de CrossRAT (Linux/macOS) e Bandook é relevante para sistemas usados por jornalistas investigativos e ativistas no Brasil Organizações em risco: - Comunidades de ativistas no Brasil com conexões com Oriente Médio - Jornalistas investigativos cobrindo conflitos regionais ou tráfico de armas - ONGs de direitos humanos com operações no Líbano ou região MENA - Empresas brasileiras com parceiros comerciais no Oriente Médio ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | CrossRAT JVM iniciado de pasta incomum | EDR: processo java.exe com args incomuns ou de path não-padrão | | FinFisher - processo com nome de sistema legítimo em pasta errada | EDR: masquerading por processo com path incorreto | | Bandook - comunicação CHM (compiled HTML) executando scripts | EDR: hh.exe (HTML help) executando scripts externos | | Screen capture em intervalos regulares de processo desconhecido | EDR: GDI/WinAPI screen capture por processo não autorizado | | Conexões HTTPS para domínios em Beirute/MENA não categorizados | Proxy: anomalia em destinos geográficos não habituais | | Links de Telegram/WhatsApp Web abrindo downloads | Proxy/FW: download de executável de links de mensageiro | ## Referências - [1](https://attack.mitre.org/groups/G0070/) MITRE ATT&CK - G0070 Dark Caracal (2024) - [2](https://info.lookout.com/rs/051-ESQ-475/images/Lookout_Dark-Caracal_srr_20180118_us_v.1.0.pdf) EFF/Lookout - Dark Caracal: Cyber-espionage at a Global Scale (2018) - [3](https://www.eff.org/deeplinks/2018/01/dark-caracal-governments-worldwide-may-use-same-spyware) EFF - Dark Caracal: Governments Worldwide Using Same Spyware (2018) - [4](https://blog.talosintelligence.com/2018/01/tracking-bandook.html) Cisco Talos - Tracking Bandook (2018) - [5](https://www.lookout.com/documents/threat-reports/lookout-novel-android-spyware-bandook-threat-report.pdf) Lookout - Bandook Novel Android Spyware Threat Report (2021) - [6](https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/) Citizen Lab - Relacionado (contexto de spyware estatal contra jornalistas) (2020) **Atores relacionados:** [[g0067-apt37|APT37]] · [[g0095-machete|Machete]] (modelo de espionagem estatal via spyware) **Malware e ferramentas:** [[crossrat|CrossRAT]] · [[s0182-finfisher|FinFisher]] · [[s0234-bandook|Bandook]] **Setores alvejados:** [[government|Governo]] · [[military|Militar]] · [[telecommunications|Telecomúnicações]]