g0112-windshift - RunkIntel

# Windshift > [!warning] Ator de Vigilância de Longo Prazo > Windshift opera como ator de inteligência puro - realiza reconhecimento de 1 a 2 anos antes de qualquer ataque, visando **exclusivamente indivíduos específicos** (não infraestrutura corporativa) em departamentos governamentais do Oriente Médio. ## Visão Geral **Windshift** (também rastreado como **Bahamut** e **Windy Phoenix**) é um grupo de ameaça persistente avancado de origem desconhecida, com forte suspeita de nexo ao Oriente Médio. Ativo desde pelo menos 2017, o grupo se distingue por uma abordagem de espionagem extremamente paciente e cirurgica: realiza reconhecimento de 1 a 2 anos via redes sociais falsas antes de tentar qualquer comprometimento tecnico. A caracteristica mais marcante do Windshift é seu foco em **individuos específicos** - nao em corporacoes ou infraestrutura. O grupo visa servidores públicos e individuos em departamentos governamentais e infraestrutura critica no **Oriente Médio** (EAU, Jordania, Egito) e **Sul da Asia** (Paquistao, India, Cashmira). O Windshift opera como um provavel **hacker-for-hire** ou ator estatal disfarçado, com evidências de sobreposicao de infraestrutura e TTPs com o Fancy Bear russo e o grupo Bahamut, levando alguns pesquisadores a considera-los relacionados ou o mesmo ator. ## Attack Flow - Vigilância em Fases ```mermaid graph TB A["🔍 Fase 1: Reconhecimento Duração: 1-2 anos Perfis falsos no LinkedIn/ Facebook/Twitter/Instagram"] --> B["📩 Fase 2: Engenharia Social Troca de mensagens Coleta de emails e contatos"] B --> C["🔑 Fase 3: Coleta de Credenciais 1 dia - phishing de Gmail/iCloud/Etisalat"] C --> D["💻 Fase 4: Malware (raro) WindTail via spear-phishing Apenas 2-3 tentativas/ano"] D --> E["📱 Fase 5: Mobile Surveillance Operations BULL/ROCK iOS e Android comprometidos"] E --> F["🎯 Exfiltração Focada SMS/contatos/fotos Gravação de áudio e vídeo"] classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef social fill:#8e44ad,color:#fff,stroke:#6c3483 classDef creds fill:#e67e22,color:#fff,stroke:#d35400 classDef malware fill:#c0392b,color:#fff,stroke:#922b21 classDef mobile fill:#2471a3,color:#fff,stroke:#1a5276 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A recon class B social class C creds class D malware class E mobile class F exfil ``` ## Operacoes Notáveis | Operação | Plataforma | Capacidades | Período | |---------|----------|-------------|---------| | **Operation BULL** | Android | Gravacao de audio, captura de video, exfiltração de SMS/contatos, geofencing, anti-análise | 2018-2023 | | **Operation ROCK** | iOS | Perfis MDM maliciosos, exfiltracão de dados do calendário, exfiltração de SMS | 2018-2022 | | **Coleta de credenciais** | Web | Phishing de Gmail/iCloud/Etisalat com páginas de recuperacao de senha falsas | 2017-2023 | > [!info] Geofencing em Operacoes Móveis > As aplicações maliciosas do Windshift (Operations BULL e ROCK) implementam **geofencing** - ativam funcionalidades apenas quando o dispositivo está em regioes-alvo específicas. Essa técnica minimiza a detecao em ambientes de análise e sandboxes fora das regioes visadas. ## Arsenal de Malware ### WindTail (macOS e Windows) - Backdoor usado na fase de comprometimento de estacoes de trabalho - Entregue via spear-phishing com links para websites especialmente criados - Coleta de informações do sistema, captura de tela, exfiltração de dados - Primeira aparicao documentada: janeiro 2017 ### WindTape (macOS) - Backdoor adicional de captura de tela e exfiltração - Usado em alvos de alto valor após comprometimento inicial ## Modus Operandi - O Que Torna Windshift Único ```mermaid graph TB A["Ator Normal Ataque direto"] --> X["Defesas detectam rapidamente"] B["Windshift Reconhecimento 1-2 anos"] --> C["Persona genuína nas redes sociais"] C --> D["Alvo confia e compartilha dados"] D --> E["Phishing cirurgico 1-3 tentativas/ano"] E --> F["Raramente detectado anos sob o radar"] classDef normal fill:#7b241c,color:#fff,stroke:#641e16 classDef wind fill:#1a5276,color:#fff,stroke:#154360 classDef result fill:#196f3d,color:#fff,stroke:#145a32 class A,X normal class B,C,D,E wind class F result ``` Características distintivas: - **Paciência extrema**: reconhecimento de 1-2 anos antes do primeiro ataque - **Foco em individuos**: nao em corporacoes (menor footprint, maior dificuldade de detecao) - **Reutilização de malware de outros APTs**: usa infraestrutura de Bahamut/Fancy Bear (possible hacker-for-hire) - **Volume mínimo**: 2-3 tentativas de malware por ano - so quando altamente confiante no alvo - **Geofencing mobile**: aplicações com restricao geografica que nao se ativam em análise ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1566-003-spearphishing-via-service|T1566.003 - Spearphishing via Service]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1036-001-invalid-code-signature|T1036.001 - Invalid Code Signature]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Software Utilizado - [[s0466-windtail|WindTail]] - [[windtape|WindTape]] ## Grupos Relacionados - [[g0069-mango-sandstorm|MuddyWater]] - outro ator iraniano com alvos no Oriente Médio - [[g0077-leafminer|Leafminer]] - ator iraniano com foco similar em Oriente Médio - [[g0059-magic-hound|APT35]] - grupo iraniano de espionagem compartilhando regiao de interesse ## Relevância para o Brasil e LATAM > [!info] Risco Limitado - Foco Exclusivo em Oriente Médio e Sul da Ásia > Windshift tem foco geografico documentado exclusivamente em individuos no Oriente Médio e Sul da Ásia. Nao há evidências de campanhas contra o Brasil ou LATAM. A excecao relevante: **diplomatas, jornalistas e pesquisadores brasileiros** com atuacao em temas do Oriente Médio (politica, petroleo, relacoes com EAU, Arabia Saudita ou Iran) podem ser alvos potenciais da paciência extrema deste ator. O Windshift nao distingue "importancia" da vitima pela organização, mas pelo individuo - alguem com acesso a informações sensiveis sobre a regiao pode ser alvo mesmo estando baseado no Brasil. Organizacoes com operações petroliferas no Oriente Médio (Petrobras, por exemplo) devem monitorar se funcionarios foram alvejados por perfis falsos em redes sociais com interesses suspeitamente alinhados. ## Detecao e Mitigação - Verificar autenticidade de conexoes em redes sociais de pessoas que nunca conheceu pessoalmente - Monitorar solicitacoes de "conexão" de individuos desconhecidos com interesse em assuntos governamentais sensiveis - Nunca clicar em links enviados por contatos de redes sociais para "reset de senha" de Gmail ou iCloud - Implementar 2FA em contas de email e serviços de nuvem - Em ambientes governamentais: triagem rigorosa de novas conexoes em LinkedIn de funcionarios com acesso privilegiado ## Referências - [1](https://unit42.paloaltonetworks.com/shifting-in-the-wind-windshift-attacks-target-middle-eastern-governments/) Unit 42 - Shifting in the Wind: WINDSHIFT Attacks Target Middle Eastern Governments (2018) - [2](https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf) HITB - In the Trails of WINDSHIFT APT (2018) - [3](https://attack.mitre.org/groups/G0112/) MITRE ATT&CK - G0112 Windshift - [4](https://www.bellingcat.com/resources/case-studies/2017/10/27/bahamut-revisited-cyber-espionage-middle-east-south-asia/) Bellingcat - Bahamut Revisited (2017) - [5](https://attack.mitre.org/groups/G0112/) MITRE ATT&CK - Windshift G0112 (2025)