g0130-ajax-security-team

# Ajax Security Team > [!warning] Grupo Iraniano - Evolução de Defacement para Espionagem de Defesa > O Ajax Security Team é um dos exemplos documentados mais claros da evolução de um grupo de hackers de defacement de sites para uma operação de ciberespionagem estatal iraniana. Em 2014, o grupo abandonou vandalismo para focar em espionagem contra a **base industrial de defesa dos EUA** e ativistas iranianos que usam tecnologias anticensura. ## Visão Geral O **Ajax Security Team** (também rastreado como Flying Kitten pela CrowdStrike, Rocket Kitten pela Check Point, Operation Saffron Rose pela FireEye e Group 26 pela Talos) é um grupo iraniano ativo desde pelo menos 2010. A trajetória do grupo oferece uma visão rara da evolução de atores de ameaça: membros do grupo foram identificados em fóruns de hackers iranianos como `ashiyane[.]org` e `shabgard[.]org`, realizando defacements sob o nome "AjaxTM" desde 2010. A transição definitiva de defacement para espionagem ocorreu por volta de 2013-2014. A operação **Operation Saffron Rose** (documentada pela FireEye em 2013) revelou que o grupo havia mudado de foco para alvos estratégicos: empresas da base industrial de defesa americana e iranianos que usavam ferramentas de VPN e proxies para contornar censura. O modelo operacional passou a incluir phishing sofisticado via redes sociais, malware de keylogging personalizado (CWoolger, MPK) e exploração de vulnerabilidades web com ferramentas como SQLmap e Havij. Análise da CrowdStrike (Flying Kitten) identificou o grupo mirando múltiplos contratantes de defesa americanos já em meados de 2014. A Check Point documentou conexões entre o Ajax Security Team e a campanha Rocket Kitten, que compartilha infraestrutura e TTPs, sugerindo relação direta ou que os nomes referem-se ao mesmo conjunto de atores. **Também conhecido como:** AjaxTM, Flying Kitten (CrowdStrike), Rocket Kitten (Check Point), Group 26 (Talos), Operation Saffron Rose (FireEye) ## Attack Flow - Espionagem via Engenharia Social ```mermaid graph TB A["Reconhecimento Redes sociais e fóruns Identificação de alvos de interesse"] --> B["Spear-phishing T1566.001/.003 Email personalizado + redes sociais"] B --> C["Enganos e Lures Impersonificacao de figuras proeminentes Iscas politicas e diplomaticas"] C --> D["Entrega Malware T1204.002 Arquivo malicioso Wrapper/Gholee dropper"] D --> E["Keylogging T1056.001 CWoolger ou MPK Todos os keystrokes coletados"] E --> F["Coleta Credenciais T1555.003 FireMalv Senhas Firefox + cookies"] F --> G["Exploração Web T1190 SQLmap / Havij Infraestrutura adicional comprometida"] G --> H["Exfiltração Credenciais defesa EUA Dados dissidentes iranianos"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#16a085,color:#fff style G fill:#7f8c8d,color:#fff style H fill:#196f3d,color:#fff ``` ## Arsenal de Ferramentas | Ferramenta | Tipo | Função | |-----------|------|--------| | [[cwoolger\|CWoolger]] | Malware customizado | Keylogger que registra todas as teclas | | MPK | Malware customizado | Keylogger alternativo similar ao CWoolger | | FireMalv | Malware customizado | Coleta senhas armazenadas no Firefox | | Wrapper/Gholee | Downloader | Baixa malware adicional para o sistema comprometido | | [[s0225-sqlmap\|sqlmap]] | Ferramenta pública | Exploração de SQL injection em infraestrutura web | | [[s0224-havij\|Havij]] | Ferramenta pública | Exploração automatizada de SQL injection | ## Evolução Operacional: Defacement → Espionagem ```mermaid timeline title Ajax Security Team - Evolução 2010 : Defacements AjaxTM : Fóruns iranianos ashiyane.org 2011-2013 : Campanha dupla : Defacements + primeiros passos em espionagem 2013 : Operation Saffron Rose : FireEye documenta espionagem defesa EUA 2014 : Ultimo defacement : Transicao completa para espionagem 2014-2015 : Flying Kitten (CrowdStrike) : Contratantes defesa americanos 2015 : Rocket Kitten (Check Point) : 9 vidas da campanha publicado 2017 : Flying Kitten to Rocket Kitten : Análise de ambiguidade e código compartilhado ``` ## Conexões com Outros Grupos Iranianos ```mermaid graph TB A["Ajax Security Team AjaxTM / G0130"] --> B["Flying Kitten CrowdStrike rastreamento Contratantes defesa EUA"] A --> C["Rocket Kitten Check Point rastreamento 9 Lives Campaign"] A --> D["Operation Saffron Rose FireEye investigação Espionagem defesa"] B --> E["Possível sobreposicao de infraestrutura e TTP com outros grupos iranianos"] C --> E style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#7f8c8d,color:#fff ``` A sobreposição entre Ajax Security Team, Flying Kitten e Rocket Kitten é extensamente debatida na comunidade de inteligência. Análise de infraestrutura, ferramentas e modos de operação revelou relação potencial, mas a pergunta de se são o mesmo grupo, subgrupos ou colaboradores permanece aberta. ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Keylogging | [[t1056-001-keylogging\|T1056.001]] | CWoolger e MPK registram todas as teclas | | Spearphishing via Service | [[t1566-003-spearphishing-via-service\|T1566.003]] | Redes sociais (LinkedIn, Facebook) como vetor | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Anexos maliciosos personalizados | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Lures executáveis apresentados como legítimos | | Credentials from Web Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | FireMalv coletando senhas do Firefox | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Wrapper/Gholee baixando payloads adicionais | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | SQLmap/Havij para SQL injection | ## Relevância para o Brasil e LATAM O Ajax Security Team tem foco exclusivo na base industrial de defesa americana e dissidentes iranianos - sem evidência de campanhas em LATAM. Porém, a importância do grupo para o Brasil é métodológica: > [!info] Lições para o Setor de Defesa Brasileiro > O modelo de espionagem do Ajax Security Team - usando redes sociais para identificar e contatar funcionários de defesa, seguido de spear-phishing personalizado - é facilmente replicável por qualquer grupo com motivação política ou econômica. Embraer Defesa, AVIBRAS, e contratantes do Ministério da Defesa brasileiro deveriam considerar este perfil de ameaça ao modelar riscos. Aspectos relevantes: - **Engenharia social via LinkedIn**: O grupo usava redes profissionais para abordar alvos - risco direto para funcionários brasileiros de defesa com perfis públicos - **Evolução de hacktivismo para espionagem**: Padrão visto em grupos brasileiros como o Anonymous BR que podem evoluir para operações mais sofisticadas - **Ferramentas SQL injection**: SQLmap e Havij são amplamente usados em ataques a sistemas governamentais brasileiros por atores oportunistas ## Referências - [1](https://www.mandiant.com/sites/default/files/2021-09/rpt-operation-saffron-rose.pdf) FireEye - Operation Saffron Rose (2013) - [2](https://attack.mitre.org/groups/G0130/) MITRE ATT&CK - Ajax Security Team G0130 - [3](https://www.crowdstrike.com/blog/cat-scratch-fever-crowdstrike-tracks-newly-reported-iranian-actor-flying-kitten/) CrowdStrike - Flying Kitten Profile (2014) - [4](https://iranthreats.github.io/resources/notes-flying-kitten/) Iran Threats - Flying Kitten: From Defacements to Industrial Espionage (2018) - [5](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Flying+Kitten%2C+Ajax+Security+Team) ETDA Thailand - Ajax Security Team / Flying Kitten Profile **Grupos relacionados:** [[g0069-mango-sandstorm|MuddyWater]] · [[g0064-apt33|APT33]] · [[g0049-oilrig|APT34]] (outros grupos iranianos) **Setores alvejados:** [[defense|Defesa]] · [[technology|Tecnologia]] · [[civil-society|Sociedade Civil]]