# The White Company > [!danger] Capacidades Excepcionais de Evasão > The White Company é o primeiro ator de ameaça documentado a **evadir específicamente 8 produtos antivírus diferentes** - Sophos, ESET, Kaspersky, BitDefender, Avira, Avast, AVG e Quick Heal - e deliberadamente "se entregar" a eles em datas programadas como distração. ## Visão Geral **The White Company** é um ator de ameaça provavelmente patrocinado por Estado com capacidades avancadas e recursos consideráveis. O nome foi dado pela Cylance em reconhecimento às "medidas elaboradas para apagar todos os sinais de sua atividade e evadir atribuicao". Entre novembro de 2017 e fevereiro de 2018, o grupo conduziu a **Operação Shaheen** - uma campanha de espionagem de um ano direcionada à **Forca Aérea do Paquistao** e organizacoes governamentais e militares. A atribuicao permane indefinida. O Paquistao - pais nuclear com programa avancado de defesa - é alvo de interesse de múltiplas nacoes com capacidades cibernéticas avancadas, incluindo Five Eyes, China, Russia, India, Iran, Israel e nacoes do Golfo. ## Attack Flow - Operação Shaheen ```mermaid graph TB A["📧 Fase 1: Phishing Cirurgico<br/>Documentos Word com<br/>temas da Forca Aérea PAK"] --> B["🌐 Sites Comprometidos PAK<br/>Domínios militares paquistaneses<br/>para hospedar malware"] B --> C["💥 Exploitacao<br/>CVE-2012-0158 Word<br/>Shellcode de primeiro estágio"] C --> D["🛡️ Evasão de AV (8 produtos)<br/>5 camadas de empacotamento<br/>entrega programada de detecção"] D --> E["🔧 RAT Deploy<br/>Revenge RAT / NETWIRE<br/>Keylogging + camera + mic"] E --> F["📅 Capitulacao Programada<br/>Malware se entrega ao AV<br/>em data específica (distração)"] classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef domain fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exploit fill:#e67e22,color:#fff,stroke:#d35400 classDef evasion fill:#1a5276,color:#fff,stroke:#154360 classDef rat fill:#2471a3,color:#fff,stroke:#1a5276 classDef distraction fill:#b7950b,color:#fff,stroke:#9a7d0a class A phish class B domain class C exploit class D evasion class E rat class F distraction ``` ## Operação Shaheen - Análise Detalhada A Operação Shaheen foi dividida em duas fases distintas: **Fase 1 (novembro 2017 - dezembro 2017):** - Spear-phishing com links para websites comprometidos paquistaneses - Temas dos documentos: Forca Aérea PAK, governo paquistanes, militares chineses no Paquistao - RATs simples off-the-shelf (Revenge RAT, NETWIRE) com ofuscação pesada - Websites comprometidos incluiam ramo de engenharia do exercito paquistanes e fornecedor de equipamentos dentais militares **Fase 2 (dezembro 2017 - fevereiro 2018):** - Transicao para documentos Word com malware já embutido (exploit CVE-2012-0158) - Payload com 5 camadas de empacotamento para evasão de AV - Capacidade de verificar e evadir 8 produtos de antivírus distintos - **Mecanismo único**: malware programado para se "entregar" ao AV em datas específicas diferentes para cada produto - distracão deliberada para ocupar recursos de resposta a incidentes enquanto o grupo opera em outra parte da rede ```mermaid graph TB A["Mecanismo de Distração<br/>Único do The White Company"] --> B["Malware se detecta<br/>propositalmente em datas"] B --> C["Equipe de segurança<br/>investiga ameaça falsa"] C --> D["Foca recursos em<br/>área comprometida A"] D --> E["Enquanto isso: grupo opera<br/>livremente na área B"] classDef trick fill:#7b241c,color:#fff,stroke:#641e16 classDef distract fill:#e67e22,color:#fff,stroke:#d35400 classDef operate fill:#196f3d,color:#fff,stroke:#145a32 class A trick class B,C,D distract class E operate ``` ## Perfil Técnico **Sistema de Build de Exploits:** - Acesso a desenvolvedores de zero-days e possívelmente zero-days ativos - Sistema automatizado de construcao de exploits - Capacidade de modificar exploits para necessidades específicas de misso **Capacidades do Malware:** - Registro de teclas (keylogging) - Controle remoto de desktop - Acesso a microfone e camera - Capacidade de operar sob 8 produtos AV simultâneos - Autodestricao programada (distração) **Infraestrutura:** - Uso de websites paquistaneses legitimamente comprometidos como staging - Nenhum "erro" identificado que pudesse revelar identidade - planejamento meticuloso ## Grupos Relacionados e Contexto Geopolítico O Paquistao é alvo de múltiplos atores de alta sofisticacao: - [[g0134-transparent-tribe|APT36 (Transparent Tribe)]] - grupo indiano que ataca militares paquistaneses - [[g1002-bitter|BITTER]] - grupo suspeito de nexo sul-asiático com alvos no Paquistao - [[g0069-mango-sandstorm|MuddyWater]] - Iran também tem interesse em espionagem paquistanesa ## Relevância para o Brasil e LATAM > [!warning] Risco Moderado - Potencial de Expansão para Defesa Nacional > The White Company nao tem documentacao de atividade na LATAM. Porém, o perfil do grupo - capacidades avancadas de evasão, acesso a zero-days e foco em setores de defesa e governo - é altamente transferivel para outros alvos de interesse estratégico. O Brasil, como pais com programa nuclear civil, industria de defesa nacional relevante (IMBEL, Embraer Defesa) e posicao geopolitica crescente, pode atrair interesse de atores similares. A técnica de **capitalizar deliberadamente na distracão** (fazer o malware se entregar ao AV em datas programadas para desviar a aténcao) é uma inovacao tática que equipes brasileiras de defesa devem conhecer. Recomendacoes para organizacoes de defesa brasileiras: - Monitorar atividade incomum de antivírus detectando ameaças "simples" - pode ser distração - Manter sistemas de detecção comportamental além de detecção por assinatura - Segmentar redes de defesa com monitoramento 24/7 de movimentação lateral ## Detecao e Mitigação - Aplicar patch imediato de vulnerabilidades Office (CVE-2012-0158 e similares) - Implementar EDR comportamental além de AV baseado em assinatura - Monitorar suspeita de atividade AV "falso positivo" programado como indicador de evasão avancada - Revisar websites de fornecedores e parceiros como possiveis staging points - Aplicar DMARC/SPF em organizacoes de defesa para bloquear phishing direcionado ## Referências - [1](https://blogs.blackberry.com/en/2018/11/the-white-company-inside-the-operation-shaheen-espionage-campaign) Cylance/BlackBerry - The White Company: Inside Operation Shaheen (2018) - [2](https://securityaffairs.com/77982/apt/operation-shaheen-campaign.html) Security Affairs - Operation Shaheen: Pakistan Air Force targeted (2018) - [3](https://cyberscoop.com/operation-shaheen-cylance-pakistan-white-company/) CyberScoop - Spy campaign targeting Pakistani officials (2018) - [4](https://attack.mitre.org/groups/G0089/) MITRE ATT&CK - G0089 The White Company