g0095-machete - RunkIntel

# Machete > [!warning] El Machete - Espionagem Militar LATAM Especializada > Machete e o grupo APT mais focado em **espionagem militar na América Latina**. Com operações documentadas desde 2010 e campanhas ativas confirmadas até 2022, o grupo demonstra profundo conhecimento de jargao militar venezuelano, documentos classificados e procedimentos internos de forcas armadas. Especialidade única: **exfiltração de dados GIS** - roubando arquivos de sistemas de informação geografica com rotas de navegacao e posicionamento em grids militares. ## Visão Geral Machete (APT-C-43, El Machete) e um grupo de ciberespionagem de lingua espanhola, ativo desde pelo menos 2010, com foco quase exclusivo em alvos de alto perfil na América Latina - primariamente forcas militares, servicos de inteligência, governos e infraestrutura critica. O grupo e notoriamente caracterizado por **sofisticacao social acima da técnica**: utiliza documentos militares reais previamente roubados como iscas de spear-phishing, demonstrando conhecimento profundo de seus alvos, seus processos internos e sua linguagem específica. A atribuicao geografica do grupo permanece debatida: ESET, Kaspersky e 360 Total Security confirmam origem hispano-falante; a 360 Security suspeita de nexo com forcas anti-Maduro na Colombia (campanha HpReact 2019-2020). O grupo combina baixa sofisticacao técnica (malware Python baseico) com alto impacto operacional (gigabytes de dados militares confidenciais roubados semanalmente). Em 2022, o grupo expandiu alvos alem da Venezuela para incluir Israel, Arabia Saudita e Paquistao, usando documentos isca sobre a guerra Russia-Ucrania. **Também conhecido como:** APT-C-43, El Machete **MITRE ATT&CK:** [G0095](https://attack.mitre.org/groups/G0095/) ## Distribuição Geografica de Alvos (2019) ```mermaid pie title Alvos por Pais - Campanha 2019 "Venezuela (Militar)" : 75 "Equador (Forcas Armadas)" : 16 "Colombia e outros" : 9 ``` ## Attack Flow - Espionagem Militar ```mermaid graph TB A["Recon Coleta de inteligencia sobre alvo específico"] --> B["Spear-phishing Dirigido Documento militar real roubado como isca convincente"] B --> C["Execução Self-extracting archive com documento decoy"] C --> D["Persistência Scheduled task a cada 30min Startup folder / registry"] D --> E["Espionagem Continua Screen capture + keylog Mic / camera / GIS files"] E --> F["Exfiltração FTP + HTTP C2 USB quando ha acesso fisico"] classDef recon fill:#34495e,color:#fff,stroke:#2c3e50 classDef spear fill:#c0392b,color:#fff,stroke:#922b21 classDef exec fill:#e67e22,color:#fff,stroke:#d35400 classDef persist fill:#8e44ad,color:#fff,stroke:#6c3483 classDef spy fill:#1a5276,color:#fff,stroke:#154360 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A recon class B spear class C exec class D persist class E spy class F exfil ``` ## Capacidades Técnicas do Malware Machete O malware Machete e escrito em **Python** e possui módulo completo de espionagem: - Captura de screenshots em intervalos regulares - Keylogging continuo - Gravacao de audio via microfone - Captura de video via webcam - Coleta de documentos (Office, PDF, GIS files) - **Exfiltração especializada de arquivos GIS** (formato .kml, .shp, .gpx - rotas de navegacao militares) - Comúnicação cifrada com C2 a cada 10 minutos - Módulo de exfiltração via **USB** (indica presenca fisica nos paises-alvo) - Compressao e codificacao (Zlib + Base64) para evasão de AV (desde 2018) - Todos os componentes usam "Google" em nomes de arquivos para mascarar intencao maliciosa ## Técnicas Utilizadas - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1059-006-python|T1059.006 - Python]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1218-007-msiexec|T1218.007 - Msiexec]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1025-data-from-removable-media|T1025 - Data from Removable Media]] - [[t1119-automated-collection|T1119 - Automated Collection]] ## Software Utilizado - [[g0095-machete|Machete]] ## Historico de Campanhas | Ano | Campanha | Alvo Principal | Dados Roubados | | --- | -------- | -------------- | -------------- | | 2010-2013 | Operacoes iniciais | LATAM amplo | Governos, telecomúnicacoes | | 2014 | Kaspersky Report | Venezuela, Equador, Colombia | Gigabytes documentos gov | | 2019 | Campanha ESET | Militar venezuelano (75%) | Grids militares, rotas navais | | 2019-2020 | HpReact (360) | Forcas armadas Venezuela | Segredos militares | | 2022 | Expansao global | Israel, Arabia Saudita, Paquistao | Intel usando isca Ucrania | ## Relevância para o Brasil e LATAM > [!danger] Ameaça Direta a Defesa Nacional LATAM > Machete representa **ameaça critica e direta** para o Brasil. O grupo tem historico de operações confirmadas em todos os paises vizinhos ao Brasil (Venezuela, Colombia, Equador, Peru, Bolivia) e documentou interesse em infraestrutura critica (telecomúnicacoes, energia). A expansao para Israel, Arabia Saudita e Paquistao em 2022 demonstra capacidade operacional para alem do LATAM. Forcas Armadas brasileiras (Exercito, Marinha, Forca Aerea), Ministerio da Defesa, EMBRAER (defesa), AGU e orgaos de inteligência (ABIN) estao no perfil tipico de alvos de Machete. A especializacao em arquivos GIS e particularmente relevante para Brasil, dado que mapas de fronteiras, rotas de patrulha e posicionamento naval sao dados de alto valor estratégico. A técnica de usar **documentos militares reais previamente roubados** como iscas torna as campanhas extremamente convincentes - mesmo pessoal treinado pode ser enganado por documentos que parecem vir de colegas reais com conteudo relevante ao dia-a-dia militar. **Indicadores de risco elevado:** computadores com software GIS (ArcGIS, QGIS) em organizacoes militares/governo, acesso a mapas militares classificados, comunicação via email com paises LATAM com tensoes politicas. --- *Fontes: [MITRE ATT&CK - G0095](https://attack.mitre.org/groups/G0095) | [ESET - Machete 2019](https://www.welivesecurity.com/wp-content/uploads/2019/08/ESET_Machete.pdf) | [360 Total Security - HpReact](https://blog.360totalsecurity.com/en/apt-c-43-steals-venezuelan-military-secrets-to-provide-intelligence-support-for-the-reactionaries-hpreact-campaign/) | [Kaspersky LATAM](https://www.kaspersky.com.br/blog/sas-latam-operação-machete-espiona-governos-da-america-latina/3772/)*