g0100-inception-framework

# Inception Framework > [!high] Grupo de Espionagem com Foco em Diplomacia e Defesa > O **Inception Framework** (também rastreado como **Cloud Atlas**) é um grupo APT de espionagem altamente furtivo ativo desde 2014, com fortes indicativos de alinhamento estratégico russo. Especializado em infiltração de longo prazo em redes diplomáticas, governamentais e de defesa, o grupo evoluiu para abuso de OAuth e infraestrutura em nuvem para evasão de detecção - tornando-se um dos grupos mais difíceis de rastrear no cenário global. ## Visão Geral O Inception Framework é um grupo de espionagem cibernética rastreado desde pelo menos 2014, reconhecido por sua excepcional disciplina operacional e capacidade de manter acesso persistente em redes de alto valor por anos sem detecção. O grupo é atribuído com suspeita moderada a atores alinhados com interesses russos, embora a atribuição definitiva permaneça incerta. Pesquisadores o rastreiam sob múltiplos nomes: **Cloud Atlas** (Kaspersky), **Blue Odin**, **Clean Ursa**, **ATK116** e **OXYGEN**. Diferentemente de muitos grupos APT, o Inception Framework prioriza a **qualidade sobre a quantidade**: campanhas altamente seletivas contra um número limitado de alvos de alto valor, utilizando spear-phishing com isca geopolítica de precisão cirúrgica. O grupo tem como alvo primário ministérios de relações exteriores, agências de defesa, operadores de telecomúnicações e institutos de energia na Europa Oriental, Ásia Central e Oriente Médio. Entre 2023 e 2025, o grupo intensificou operações via **abuso de OAuth** contra grandes provedores de nuvem ([[microsoft|Microsoft]] 365, Azure, Google) e expandiu o alcance geográfico para incluir organizações na África e Ásia-Pacífico. A combinação de polimorfismo em malware (cada sample único por vítima) com hospedagem de payloads em serviços de nuvem legítimos ([[cloudme|CloudMe]], WebDAV) torna a detecção baseada em assinatura ineficaz. ## Evolução Operacional 2014-2025 ```mermaid graph TB A["2014-2016 Descoberta inicial Spear-phishing Europa+Govs"] --> B["2017-2019 Expansão Médio Oriente e Asia Central CVE-2017-11882 + CVE-2018-0802"] B --> C["2020-2022 Cloud-hosted delivery Malware em cloud storage Polimorfismo por vítima"] C --> D["2023-2025 OAuth hijacking Token theft de cloud Defesa + orgs nacionais"] style A fill:#1a5276,color:#fff style B fill:#2980b9,color:#fff style C fill:#8e44ad,color:#fff style D fill:#c0392b,color:#fff ``` ## Attack Flow - Campanha Típica ```mermaid graph TB A["📧 Spear-phishing Isca geopolítica Anexo DOC/RTF malicioso"] --> B["💥 Exploração CVE-2017-11882 ou CVE-2018-0802 Office"] B --> C["📄 Template Injection T1221 - Documento remoto carrega HTA malicioso"] C --> D["⚙️ Execução VBShower apaga evidências PowerShower persiste"] D --> E["☁️ C2 via Cloud WebDAV/CloudMe T1102 - Web Service"] E --> F["🔐 Coleta Credenciais browsers Arquivos .pdf/.doc/.xls"] F --> G["📤 Exfiltração Multi-hop proxy T1090.003 anonimização"] style A fill:#922b21,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#1a5276,color:#fff style G fill:#117a65,color:#fff ``` ## Técnicas e Arsenal ### TTPs Distintivos O grupo combina técnicas rudimentares com execução avançada. O fluxo de infecção típico começa com **Template Injection** ([[t1221-template-injection|T1221]]) - documentos que baixam templates remotos contendo exploit RTF - seguido pela execução de arquivos HTA via [[t1218-005-mshta|T1218.005]]. O componente **VBShower** apaga todos os rastros de execução e carrega o backdoor principal [[s0441-powershower|PowerShower]] de forma persistente via registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). A arquitetura C2 utiliza exclusivamente serviços cloud legítimos: [[cloudme|CloudMe]], WebDAV, e outros provedores de armazenamento, tornando o tráfego indistinguível de uso corporativo normal ([[t1102-web-service|T1102]]). Cadeias de proxy multi-hop ([[t1090-003-multi-hop-proxy|T1090.003]]) através de roteadores comprometidos adicionam camada extra de anonimização. ### Malware Principal | Componente | Função | Características | |-----------|--------|----------------| | [[s0442-vbshower\|VBShower]] | Limpeza e loader | Polimórfico - unique por vítima; apaga rastros | | [[s0441-powershower\|PowerShower]] | Backdoor principal | PowerShell-based; acesso persistente | | [[s0349-lazagne\|LaZagne]] | Credential dumper | Open-source; coleta senhas de browsers | ### CVEs Explorados | CVE | Produto | Uso | |-----|---------|-----| | [[cve-2017-11882\|CVE-2017-11882]] | Microsoft Office Equation Editor | Principal vector; RCE via RTF | | [[cve-2018-0802\|CVE-2018-0802]] | Microsoft Office Equation Editor | Variante pós-patch CVE-2017-11882 | | CVE-2012-0158 | Microsoft Office | Campanhas iniciais 2014-2016 | | CVE-2014-1761 | Microsoft Word | RTF exploitation inicial | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1221-template-injection|T1221 - Template Injection]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1218-005-mshta|T1218.005 - Mshta]] - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1102-web-service|T1102 - Web Service]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Software Utilizado - [[s0441-powershower|PowerShower]] - [[s0442-vbshower|VBShower]] - [[s0349-lazagne|LaZagne]] ## Relevância para o Brasil e LATAM > [!medium] Ameaça Indireta a Organizações Governamentais e Diplomáticas > Inception Framework não possui histórico documentado de ataques diretos ao Brasil, mas sua expansão geográfica contínua e foco em **diplomacia e relações exteriores** representa risco crescente para entidades brasileiras com conexões internacionais. O Inception Framework representa ameaça potencial para o [[brasil|Brasil]] em cenários específicos: 1. **Missões diplomáticas brasileiras** em países da Europa Oriental, Rússia e Oriente Médio - regiões de foco primário do grupo 2. **Empresas de energia e telecomúnicações** brasileiras com operações na Ásia Central ou parcerias com países em zonas de conflito geopolítico 3. **Pesquisadores e jornalistas** cobrindo relações Brasil-Rússia, conflito na Ucrânia ou geopolítica do Oriente Médio A evolução do grupo para abuso de OAuth e roubo de tokens de nuvem em 2023-2025 é especialmente preocupante, pois contorna autenticação multifator tradicional. Organizações governamentais brasileiras que utilizam [[microsoft|Microsoft]] 365 ou Google Workspace devem implementar monitoramento de acesso OAuth anômalo e revisão periódica de aplicativos autorizados. ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | Documento RTF carregando template remoto | T1221 | Bloquear downloads de templates em Word via política | | Processos mshta.exe executando HTA remoto | T1218.005 | Monitorar via EDR - execução de mshta é raramente legítima | | Regsvr32 com path incomum | T1218.010 | Alertar via SIEM | | Tráfego WebDAV/CloudMe de processos Office | T1102 | Proxy SSL inspection | | LaZagne em memória | T1555.003 | Detecção comportamental EDR | | OAuth tokens de IP geográfico incomum | T1528 | Azure AD Conditional Access + alertas | **Mitigações prioritárias:** [[m1017-user-training|M1017]] (treinamento anti-phishing), desabilitar Equation Editor em Office ([[m1048-application-isolation|M1048]]), MFA resistente a phishing ([[m1032-multi-factor-authentication|M1032]]). ## Referências - [1](https://attack.mitre.org/groups/G0100/) MITRE ATT&CK - Inception (G0100) - [2](https://brandefense.io/blog/inception-framework-apt/) Brandefense - Inside The Operations of Inception Framework (2026) - [3](https://www.cybersecurity-review.com/cloud-atlas-activity-in-the-first-half-of-2025-what-changed/) Cloud Atlas Activity H1 2025 - Kaspersky - [4](https://www.anomali.com/blog/weekly-threat-briefing-cloud-atlas-threat-group-updates-weaponry-with-polymorphic-malware) Anomali - Cloud Atlas Updates Arsenal com Malware Polimórfico