# Ferocious Kitten > [!warning] Grupo Iraniano - Vigilância de Dissidentes de Língua Persa por 6 Anos > O Ferocious Kitten é um grupo de espionagem iraniano que operou por pelo menos **6 anos sem ser detectado**, visando indivíduos persófonos críticos ao regime — ativistas, jornalistas e membros da oposição. Sua ferramenta principal, o **MarkiRAT**, possui uma técnica de persistência incomum: hijacking do processo do Telegram para monitorar comúnicações privadas. ## Visão Geral O **Ferocious Kitten** (G0137) é um grupo de ameaça iraniano rastreado pela Kaspersky, que o divulgou públicamente em junho de 2021 após identificar uma campanha ativa que já operava desde pelo menos 2015 — um período de seis anos sem exposição pública. O grupo tem como alvo exclusivo indivíduos de língua persa que são críticos ao governo iraniano: ativistas políticos, jornalistas, dissidentes e membros da oposição. O aspecto mais notável do Ferocious Kitten é sua ferramenta principal, o **MarkiRAT** — um RAT (Remote Access Trojan) customizado com uma técnica de persistência altamente incomum: o malware se disfarça como o processo legítimo do **Telegram**, copiando a si mesmo para o diretório de dados do Telegram (`tdata`) e modificando o atalho da aplicação para executar o malware em vez do cliente legítimo. Isso garante que toda vez que a vítima tenta usar o Telegram, o MarkiRAT é executado, enquanto o Telegram também inicia para não levantar suspeitas. O MarkiRAT é capaz de keylogging, captura de tela, roubo de conteúdo da área de transferência e download de arquivos adicionais via BITSAdmin. Em 2021, a Kaspersky observou que o grupo também adotou a exploração da vulnerabilidade **CVE-2021-40444** (zero-day no mecanismo MSHTML do Internet Explorer, explorado em documentos Word), demonstrando capacidade de incorporar exploits públicos rapidamente em sua cadeia de ataque. Pesquisadores identificaram similaridades técnicas com grupos iranianos correlatos como **Domestic Kitten** e **Rampant Kitten** — todos focados na vigilância de dissidentes persas. A hipótese é que compartilham infraestrutura ou operadores, mas são rastreados separadamente por diferenças em TTPs e alvos específicos. ## Attack Flow - Vigilância de Dissidentes Persas ```mermaid graph TB A["Reconhecimento OSINT<br/>Identificação ativistas<br/>Língua persa - redes sociais"] --> B["Spearphishing Anexo<br/>T1566.001 Arquivo Office<br/>CVE-2021-40444 MSHTML"] B --> C["Entrega MarkiRAT<br/>T1204.002 Execução<br/>Disfarce como arquivo legítimo"] C --> D["Persistência via Telegram<br/>T1547.001 Hijacking atalho<br/>Cópia para diretório tdata"] D --> E["Coleta de Dados<br/>T1056.001 Keylogging<br/>T1113 Screenshots T1115 Clipboard"] E --> F["Exfiltração<br/>BITSAdmin download<br/>Credenciais e comúnicações"] F --> G["Vigilância Contínua<br/>6 anos sem detecção<br/>Monitoramento de dissidentes"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#16a085,color:#fff style G fill:#196f3d,color:#fff ``` ## Arsenal - MarkiRAT e Técnicas de Evasão | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0652-markirat\|MarkiRAT]] | RAT customizado | Keylogging, screenshot, clipboard, download de payloads | | [[s0190-bitsadmin\|BITSAdmin]] | Ferramenta legítima Windows | Download de payloads adicionais via BITS (Background Intelligent Transfer Service) | | CVE-2021-40444 | Exploit | Zero-day MSHTML — execução de código via documentos Word maliciosos | | Telegram Hijacking | Técnica persistência | Cópia do MarkiRAT para `tdata/` + modificação de atalho para executar malware | | Chrome Stealer | Módulo adicional | Variante do MarkiRAT que foca em roubo de credenciais do Chrome | | Psiphon backdoored | Isca | VPN legítima (Psiphon) com MarkiRAT embutido — distribuída como ferramenta anticensura | ## Técnica Avançada - Telegram Hijacking ```mermaid graph TB A["Vítima instala arquivo<br/>malicioso recebido<br/>por e-mail ou rede social"] --> B["MarkiRAT executa<br/>e mapeia instalação<br/>do Telegram na máquina"] B --> C["Copia MarkiRAT.exe<br/>para diretório tdata<br/>do Telegram"] C --> D["Modifica atalho Telegram<br/>para apontar para<br/>MarkiRAT em vez do cliente"] D --> E["Vítima clica no atalho<br/>MarkiRAT executa primeiro<br/>depois inicia Telegram real"] E --> F["Vigilância permanente<br/>Toda sessão Telegram<br/>monitorada pelo RAT"] style A fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style F fill:#196f3d,color:#fff ``` > [!info] Por que o Telegram? > O Telegram é amplamente usado por ativistas iranianos e dissidentes como canal de comunicação "seguro" por ter criptografia e ser menos monitorado que outras plataformas na visão iraniana. O Ferocious Kitten explora exatamente esse comportamento — a vítima acredita que está usando o Telegram legítimo enquanto o RAT captura todo o conteúdo antes da criptografia. ## Timeline ```mermaid timeline title Ferocious Kitten - Cronologia 2015 : Primeiras atividades documentadas : Alvos persófonos - ativistas e jornalistas 2015-2020 : 6 anos de operação silenciosa : Sem exposição pública : MarkiRAT usado continuamente 2021-03 : CVE-2021-40444 incorporado : Microsoft MSHTML zero-day em documentos Word 2021-06 : Kaspersky divulga o grupo : Pesquisa pública - Ferocious Kitten nomeado 2021 : Psiphon backdoored distribuído : VPN anticensura com MarkiRAT embutido ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office com temas políticos iranianos | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Arquivos com MarkiRAT disfarçados como documentos | | Right-to-Left Override | [[t1036-002-right-to-left-override\|T1036.002]] | RTL override para mascarar extensão real do arquivo | | Match Legitimate Name | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | MarkiRAT copiado para diretório Telegram com nome legítimo | | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência adicional via chaves de registro | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | MarkiRAT captura todas as teclas digitadas | | Screen Capture | [[t1113-screen-capture\|T1113]] | Screenshots regulares da tela da vítima | | Clipboard Data | [[t1115-clipboard-data\|T1115]] | Conteúdo copiado e colado monitorado | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | BITSAdmin baixa módulos adicionais do C2 | ## Relevância para o Brasil e LATAM > [!latam] Comunidades Persas na Diáspora e Ativistas LATAM > O Ferocious Kitten tem foco geográfico no Irã, mas sua doutrina operacional — vigilância de dissidentes por meio de spearphishing culturalmente adaptado e RATs com técnicas de evasão — é transferível para qualquer contexto político repressivo. O padrão de distribuir ferramentas anticensura backdoorizadas é especialmente relevante para ativistas latino-americanos. Aspectos de risco para o Brasil e LATAM: - **Comunidade iraniana no Brasil**: O Brasil tem uma das maiores comunidades iranianas fora do Oriente Médio — indivíduos com vínculos ao ativismo persa são potencialmente alvos - **Modelo replicável**: A técnica de backdoorizar aplicativos populares (como o Telegram) é facilmente adaptada por grupos iranistas ou outros agentes estatais - **Ativistas e jornalistas LATAM**: O padrão operacional do Ferocious Kitten — vigilância de dissidentes por 6 anos — replica comportamento visto em grupos que monitoram opositores venezuelanos, cubanos e nicaraguenses - **Psiphon como vetor**: Ferramentas anticensura backdoorizadas são isca eficaz para qualquer comunidade que usa VPNs por restrições governamentais ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | Atalho do Telegram apontando para executável diferente do original | EDR: verificar processo iniciado pelo atalho Telegram | | Arquivo executável dentro do diretório `AppData\Roaming\Telegram Desktop\tdata\` | EDR: alertas para executáveis em diretórios de dados de aplicativos | | BITSAdmin criando jobs de download não solicitados | SIEM: monitorar jobs BITS criados por processos não relacionados a updates | | Processo iniciado via MSHTML/Word abrindo conexão externa | EDR: alertas para WINWORD.EXE spawning processos de rede | | Keylogger tentando acessar conteúdo de área de transferência | EDR: comportamento de acesso anômalo ao clipboard por processos desconhecidos | ## Referências - [1](https://securelist.com/ferocious-kitten-6-years-of-covert-surveillance-in-iran/102806/) Kaspersky Securelist - Ferocious Kitten: 6 Years of Covert Surveillance in Iran (2021) - [2](https://attack.mitre.org/groups/G0137/) MITRE ATT&CK - Ferocious Kitten G0137 - [3](https://www.trendmicro.com/en_us/research/21/i/analyzing-ferocious-kitten-an-actor-targeting-farsi-speakers.html) Trend Micro - Analyzing Ferocious Kitten: An Actor Targeting Farsi-Speaking Users (2021) - [4](https://www.welivesecurity.com/2021/06/09/ferocious-kitten-6-years-covert-surveillance-iran/) ESET WeLiveSecurity - Ferocious Kitten analysis (2021) **Grupos relacionados:** [[domestic-kitten|Domestic Kitten]] · [[rampant-kitten|Rampant Kitten]] (grupos iranianos com foco em dissidentes persas) **Malware principal:** [[s0652-markirat|MarkiRAT]] **Setores alvejados:** [[civil-society|Sociedade Civil]] · Ativismo e dissidência política