g1018-ta2541 - RunkIntel

# TA2541 > [!warning] TA2541 - Ameaça Persistente ao Setor de Aviacao Global > TA2541 e o grupo mais consistentemente focado em **aviacao, aeroespacial e defesa** dentre todos os atores rastreados. Ativo desde 2017 sem alteração significativa de TTPs - o que demonstra eficacia das campanhas de alto volume. Specialidade: **RATs comerciais obfuscados via crypters** hospedados em Google Drive, OneDrive e GitHub para evasão de controles de rede. Em 2025, o grupo ampliou o uso de [[s1087-asyncrat|AsyncRAT]] como payload preferêncial. ## Visão Geral TA2541 e um grupo de ciberespionagem financeiramente motivado ativo desde pelo menos 2017, especializado em campanhas de spear-phishing de alto volume contra setores de aviacao, aeroespacial, transporte, manufatura e defesa. A Proofpoint rastreia o grupo continuamente desde 2017 e documentou consistencia tática incomum: **o grupo nao muda suas TTPs mesmo após divulgacoes públicas**, sugerindo que o modelo de alto volume sobrepoe perdas operacionais por exposicao. O diferencial de TA2541 e a combinacao de **tematica hiper-específica** (aviacao, FMCN, rotas aereas, manuais de aeronave, regulacoes da FAA e ANAC) com **payloads obfuscados via crypters** para evasão de soluções antivirus. O grupo usa principalmente [[s1087-asyncrat|AsyncRAT]] como RAT final, mas também opera com [[s0331-agent-tesla|Agent Tesla]], [[s0198-netwire|NETWIRE]], [[s0379-revenge-rat|Revenge RAT]] e dezenas de outras ferramentas comerciais de acesso remoto. O acesso inicial e entregue via links para arquivos hospedados em servicos cloud legitimos (Google Drive, OneDrive, GitHub, Discord CDN). Marcadores de infraestrutura exclusivos do grupo incluem dominios C2 com tokens **"kimjoy"**, **"h0pe"** e **"grace"** - identificadores que persistem em centenas de amostras ao longo dos anos, facilitando atribuicao mesmo sem correlação de malware. **MITRE ATT&CK:** [G1018](https://attack.mitre.org/groups/G1018/) ## Modelo de Campanhas - Alto Volume, Baixa Sofisticacao ```mermaid graph TB A["Infraestrutura C2 Dominios kimjoy/h0pe/grace VPS anonimizado"] --> B["Payload Staging Google Drive / OneDrive GitHub / Discord CDN"] B --> C["Phishing de Alto Volume Dezenas de organizacoes simultaneamente"] C --> D["Temas Aviacao FMCN / rotas aereas manuais FAA/ANAC"] D --> E["Entrega Crypter Snip3 obfusca AsyncRAT ou outro RAT comercial"] E --> F["RAT Implantado Acesso persistente vigilancia de longo prazo"] classDef infra fill:#1a5276,color:#fff,stroke:#154360 classDef stage fill:#2e86c1,color:#fff,stroke:#1a5276 classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef theme fill:#e67e22,color:#fff,stroke:#d35400 classDef crypt fill:#8e44ad,color:#fff,stroke:#6c3483 classDef rat fill:#196f3d,color:#fff,stroke:#145a32 class A infra class B stage class C phish class D theme class E crypt class F rat ``` ## Attack Flow - Intrusão Tipica ```mermaid graph TB A["Email com Link Tema: manual aeronave ou regulação FAA"] --> B["Download via OneDrive Arquivo VBS / LNK ou ISO malicioso"] B --> C["Execução via MSHTA T1218.005 - proxy de execução LOLBin"] C --> D["Persistência Registry run key ou scheduled task"] D --> E["Discovery AV, processos, rede T1082 + T1518.001"] E --> F["AsyncRAT Ativo C2 via porta 6606 certificado autoassinado"] classDef email fill:#34495e,color:#fff,stroke:#2c3e50 classDef dl fill:#c0392b,color:#fff,stroke:#922b21 classDef exec fill:#e67e22,color:#fff,stroke:#d35400 classDef persist fill:#8e44ad,color:#fff,stroke:#6c3483 classDef disc fill:#1a5276,color:#fff,stroke:#154360 classDef rat fill:#196f3d,color:#fff,stroke:#145a32 class A email class B dl class C exec class D persist class E disc class F rat ``` ## Perfil Tecnico - Arsenal de RATs TA2541 e notorio por operar um dos maiores arsenais de RATs comerciais documentados. A estratégia e clara: **usar ferramentas disponiveis no underground** que sao obfuscadas via crypters personalizados (especialmente [[s1086-snip3|Snip3]]) para evadir deteccoes baseadas em assinatura. **RATs confirmados no arsenal:** - [[s1087-asyncrat|AsyncRAT]] - preferêncial desde 2022, C2 tipicamente na porta 6606 - [[s0331-agent-tesla|Agent Tesla]] - keylogging + roubo de credenciais - [[s0198-netwire|NETWIRE]] - acesso remoto + keylogging - [[s0379-revenge-rat|Revenge RAT]] - RAT Python multifuncional - [[s0670-warzonerat|WarzoneRAT]] - acesso remoto + DarkComet fork - [[s0385-njrat|njRAT]] - RAT simples e persistente - [[s0434-imminent-monitor|Imminent Monitor]] - RAT comercial descontinuado - [[s0283-jrat|jRAT]] - RAT Java cross-platform - [[s1086-snip3|Snip3]] - crypter/loader multi-estagio **Infraestrutura caracteristica:** - Dominios C2 com tokens "kimjoy", "h0pe" ou "grace" no subdominio/hostname - Certificados TLS autoassinados consistentes entre campanhas - Rotacao frequente de IPs mas reutilização de infraestrutura de staging ## Técnicas Utilizadas - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1588-001-malware|T1588.001 - Malware]] - [[t1218-005-mshta|T1218.005 - Mshta]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1016-001-internet-connection-discovery|T1016.001 - Internet Connection Discovery]] ## Software Utilizado - [[s1086-snip3|Snip3]] - [[s0379-revenge-rat|Revenge RAT]] - [[s0283-jrat|jRAT]] - [[s0670-warzonerat|WarzoneRAT]] - [[s0434-imminent-monitor|Imminent Monitor]] - [[s1087-asyncrat|AsyncRAT]] - [[s0198-netwire|NETWIRE]] - [[s0331-agent-tesla|Agent Tesla]] - [[s0385-njrat|njRAT]] ## Relevância para o Brasil e LATAM > [!warning] Risco Direto ao Setor Aereo e de Defesa Brasileiro > TA2541 representa ameaça **moderada a alta** para o Brasil. Companhias aereas brasileiras (LATAM Brasil, Azul, Gol), aeroportos (GRU, GIG, VCP), fabricantes aeronauticos (EMBRAER), a Forca Aerea Brasileira e a ANAC estao no perfil exato de alvos do grupo. A ANAC e especialmente relevante - o grupo regularmente usa documentos com tematica de regulacoes aeronauticas como iscas. O modelo de **alto volume** de TA2541 significa que campanhas contra o setor de aviacao global quase certamente incluem organizacoes brasileiras em algum ponto. O uso de Google Drive e OneDrive como vetores de entrega e particularmente perigoso pois esses dominios sao frequentemente permitidos por politicas corporativas e nao sao bloqueados por proxies web. Organizacoes de defesa como **Marinha do Brasil, Exercito Brasileiro e fornecedores do programa KC-390** da EMBRAER sao alvos de alta prioridade dado o foco do grupo em espionagem industrial aeronautica. **Indicadores de risco elevado:** emails com anexos/links relacionados a manuais de aeronaves, regulacoes FAA/ANAC, FMCN, rotas aereas - especialmente com arquivos .vbs, .lnk ou .iso como payload. --- *Fontes: [MITRE ATT&CK - G1018](https://attack.mitre.org/groups/G1018) | [Proofpoint TA2541 Report](https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-flight-years-targeting-aviation) | [Cisco Talos TA2541](https://blog.talosintelligence.com/ta2541-aviation/) | [Mandiant TA2541 Analysis](https://www.mandiant.com/resources/blog)*