g1013-metador - RunkIntel

# Metador > [!high] Grupo de Espionagem Misterioso com Foco em Telecomúnicacoes e ISPs > **Metador** e um grupo de espionagem cibernética de origem desconhecida descoberto em 2022 pela SentinelLabs, que ataca um número altamente seletivo de **provedores de telecomúnicacoes e ISPs** no Oriente Medio e Africa. Notavel por duas anomalias: C2 em espanhol (sugerindo origem ou afiliacao com falantes de espanhol) e coexistencia na mesma infraestrutura com outros **6 grupos APT simultaneamente** - indicando alvos de altissimo valor compartilhados entre grupos. ## Visão Geral Metador foi reportado pela primeira vez pela SentinelLabs em setembro de 2022 em um relatorio denominado "Secrets in Your Services", que documentou intrucoes em infraestrutura de telecomúnicacoes critica no Paquistao e Africa do Sul. O nome "Metador" foi cunhado a partir da string "I am meta" encontrada em amostras de malware e da expectativa de respostas em **espanhol** nos servidores C2 - sugerindo que os operadores ou desenvolvedores sao fluentes em espanhol, criando especulacao sobre possível origem latino-americana ou ibero-americana do grupo. O aspecto mais surpreendente revelado pela SentinelLabs foi a **coexistencia de múltiplos APTs** na mesma infraestrutura comprometida: nos servidores dos ISPs atacados foram encontrados simultaneamente malware do Metador e de pelo menos **seis outros grupos APT nao relacionados** - incluindo grupos com perfis de China, Russia e Iran. Isso sugere que os ISPs e provedores de telecomúnicacoes alvejados possuem valor de inteligência tao alto que múltiplas nacoes os comprometeram de forma independente e simultanea sem conhecimento mutuo. O arsenal tecnico do Metador e composto por dois componentes customizados altamente sofisticados: [[s1059-metamain|metaMain]], o implante principal com capacidade de execução de comandos arbitrarios, persistência via WMI e comunicação cifrada; e [[s1060-mafalda|Mafalda]], um framework in-memory que carrega módulos dinâmicamente para captura de dados específicos. A combinacao de file deletion sistematica ([[t1070-004-file-deletion|T1070.004]]) e comunicação via protocolos nao padrao ([[t1095-non-application-layer-protocol|T1095]]) resulta em operações extremamente dificeis de detectar e atribuir. ## Perfil de Selecao de Alvos ```mermaid graph TB A["ISPs e Provedores de Telecomúnicacoes Alta prioridade"] --> B["Universidades com pesquisa estratégica Media prioridade"] A --> C["Entidades governamentais no Oriente Medio Media prioridade"] B --> D["Pakistan - principal alvo documentado 2022"] B --> E["Africa do Sul Africa sub-Saara"] C --> F["Arabia Saudita Africa do Norte"] style A fill:#c0392b,color:#fff style B fill:#8e44ad,color:#fff style C fill:#2980b9,color:#fff style D fill:#e67e22,color:#fff style E fill:#e67e22,color:#fff style F fill:#e67e22,color:#fff ``` ## Attack Flow - Comprometimento ISP ```mermaid graph TB A["Acesso Inicial Vetor desconhecido Possívelmente supply chain"] --> B["Implantação metaMain Backdoor in-memory T1106 Native API"] B --> C["Persistência via WMI T1546.003 - event subscription Sobrevive reboots"] C --> D["Carga dinâmica Mafalda Modules in-memory Sem artefatos em disco"] D --> E["Coleta de dados ISP Trafego de rede Dados de assinantes"] E --> F["Exfiltração Canal nao padrao T1095 - com criptografia"] F --> G["Limpeza de evidencias T1070.004 File deletion Anti-forensics sistematico"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff style G fill:#145a32,color:#fff ``` ## Arsenal Tecnico | Componente | Função | Caracteristicas | |-----------|--------|----------------| | [[s1059-metamain\|metaMain]] | Implante principal | In-memory; WMI persistence; comandos remotos; cifrado | | [[s1060-mafalda\|Mafalda]] | Framework modular | Carrega módulos dinâmicamente; zero footprint em disco | ## Técnicas Utilizadas - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - WMI Event Subscription]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1106-native-api|T1106 - Native API]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimate Name or Location]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1588-001-malware|T1588.001 - Malware]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Software Utilizado - [[s1059-metamain|metaMain]] - [[s1060-mafalda|Mafalda]] ## Relevância para o Brasil e LATAM > [!medium] Atencao Especial: C2 em Espanhol Levanta Questao de Origem Regional > A conexão do Metador com espanhol como lingua de operação e **intrigante e nao esclarecida**. Nenhuma operação contra alvos LATAM foi documentada, mas a possibilidade de origem ou afiliacao com atores falantes de espanhol nao pode ser descartada. Operadoras de telecomúnicacoes brasileiras ([[claro|Claro]], [[vivo|Vivo]], [[tim|TIM]], [[oi|Oi]]) sao exatamente o tipo de alvo que grupos como o Metador buscam. Para o contexto brasileiro, os riscos relevantes sao: 1. **ISPs e telecomúnicacoes** - O alvo primario do Metador e precisamente o perfil das grandes operadoras brasileiras; acesso a infraestrutura ISP permite vigilancia de trafego nacional em escala 2. **Universidades com pesquisa estratégica** - USP, UNICAMP, UFRJ e similares sao alvos de perfil compativel com historico do grupo (universidades com pesquisa em energia, defesa, computacao) 3. **Coexistencia de APTs** - O fato de múltiplos grupos operarem simultaneamente na mesma infraestrutura sugere que uma vez comprometido, um ISP atrai múltiplos atores. Detecção de UM grupo pode revelar presenca de outros O uso de WMI para persistência ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) e a eliminacao sistematica de evidências sao técnicamente desafiadoras para SOCs tradicionais - exigindo capacidade de detecção comportamental em memoria. ## Detecção e Defesa | Indicador | Técnica | Acao | |-----------|---------|------| | Assinatura WMI criada por processo nao esperado | T1546.003 | Auditoria de WMI subscriptions - WMILOG | | Processo em memoria sem correspondente em disco | T1106 | EDR com memory scanning - in-memory detecção | | Arquivo deletado imediatamente após execução | T1070.004 | USN journal monitoring; file system audit | | Trafego em porta nao padrao de processo do sistema | T1095 | Firewall egress com allowlist de portas por processo | | DLL carregada de caminho temporario | T1036.005 | Monitorar carregamento de DLL de paths incomuns | **Mitigacoes prioritarias:** Hardening de WMI ([[m1026-privileged-account-management|M1026]]), segmentacao de rede em ISPs ([[m1030-network-segmentation|M1030]]) e monitoramento de memoria com EDR avancado ([[m1049-antivirus-antimalware|M1049]]). ## Referências - [1](https://attack.mitre.org/groups/G1013/) MITRE ATT&CK - Metador (G1013) - [2](https://www.sentinelone.com/labs/metador-an-unattributed-threat-hiding-in-telcos-isps-and-universities/) SentinelLabs - Metador: Unattributed Threat in Telcos and ISPs (2022) - [3](https://www.sentinelone.com/labs/secrets-in-your-services-a-first-look-at-metador/) SentinelOne - Secrets in Your Services: First Look at Metador - [4](https://www.recordedfuture.com/blog/metador-apt-analysis) Recorded Future - Metador APT Analysis