g1020-mustard-tempest

# Mustard Tempest > [!warning] Mustard Tempest - O Maior Initial Access Broker do Mundo via Fake Updates > **Mustard Tempest** (TA569/GOLD PRELUDE) opera a maior rede de distribuição de malware via **fake browser updates** do mundo - o **SocGholish** (também chamado FAKEUPDATES). Ativo desde 2017, o grupo comprometeu dezenas de milhares de sites legítimos e infectou mais de **1,5 milhão de sistemas em uma única semana** (outubro 2024). Funciona como **Initial Access Broker (IAB)** e provedor **Pay-Per-Install (PPI)**: vende acesso a sistemas comprometidos para ransomware gangs como **Evil Corp** e **LockBit**, que então deployam seus payloads finais. ## Visão Geral O **Mustard Tempest** (G1020) é rastreado pela Microsoft como DEV-0206/Mustard Tempest, pela Secureworks como GOLD PRELUDE, pela Proofpoint como TA569, e pela Mandiant como UNC1543. Essa proliferação de nomes reflete detecção independente por múltiplos fornecedores para o mesmo operador - todos concordam que é o mesmo grupo por trás do **SocGholish**. O SocGholish (também chamado FakeUpdates) é simultaneamente um malware JavaScript e uma rede de distribuição global. O grupo opera **dois modelos de negócio** complementares: 1. **IAB (Initial Access Broker)**: infecta sistemas, qualifica alvos de alto valor (membros de domínio Active Directory), e vende acesso a ransomware operators - especialmente **Evil Corp/Indrik Spider** (GOLD DRAKE), que usou SocGholish como vetor primário para LockBit e WastedLocker 2. **PPI (Pay-Per-Install)**: aceita payloads de terceiros e os distribui pela rede comprometida mediante pagamento - clientes documentados incluem operadores de NetSupport RAT, RedLine Stealer, IcedID e SolarMarker A **ligação com Evil Corp** é significativa: Maksim Yakubets e Aleksandr Ryzhenkov, membros sancionados da Evil Corp, foram indiciados pelos EUA em 2019 e sancionados novamente em 2024 pelos EUA, Austrália e Reino Unido. A rede SocGholish é parte da infraestrutura de monetização da Evil Corp. A SilentPush também documentou que Mustard Tempest vendia acesso à **Unidade 29155 do GRU russo** via Raspberry Robin. O grupo foi identificado como **#1 em malware no Q4 2024** pelo Center for Internet Security (CIS), demonstrando escala operacional sem precedente entre IABs. ## Attack Flow - FakeUpdates para Ransomware ```mermaid graph TB A["Compromisso de sites legítimos CMS WordPress/Joomla vulneráveis T1584.001 Domains comprometidos"] --> B["Injeção de JavaScript T1608.004 Drive-by Target Parrot TDS filtra vítimas"] B --> C["Fake Browser Update T1189 Drive-by Compromise Chrome/Firefox/Teams falso"] C --> D["Usuário baixa AutoUpdater.js T1204.001 Malicious Link SocGholish executa"] D --> E["Reconhecimento do host T1082 System Info Discovery User, domain, process list"] E --> F{"Host é AD Domain Member?"} F -->|Sim - Alto valor| G["Cobalt Strike / NetSupport RAT Operador humano acessa Venda de acesso a Evil Corp"] F -->|Não - Baixo valor| H["Payload PPI RedLine / IcedID / RAT Pay-per-install para clientes"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style G fill:#196f3d,color:#fff style H fill:#d35400,color:#fff ``` ## Modelo de Negócio - MaaS + IAB + PPI ```mermaid graph TB A["Mustard Tempest Operador central"] --> B["Rede SocGholish 10.000+ sites comprometidos 1.5M interações/semana"] B --> C["TDS Parrot/Keitaro Filtragem geográfica Anti-bot, anti-pesquisador"] C --> D["Vítima infectada AutoUpdater.js executado Perfil enviado ao C2"] D --> E["Alto valor - AD Domain Venda como acesso inicial"] D --> F["Baixo valor Pay-per-install"] E --> G["Evil Corp / LockBit Ransomware deploy WastedLocker / Hades"] F --> H["Clientes PPI RedLine, IcedID SolarMarker, RATs"] style A fill:#e74c3c,color:#fff style B fill:#3498db,color:#fff style C fill:#8e44ad,color:#fff style E fill:#c0392b,color:#fff style G fill:#196f3d,color:#fff style H fill:#d35400,color:#fff ``` ## Arsenal Técnico | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[s1124-socgholish\|SocGholish]] | Framework JS malicioso | Loader JavaScript com reconhecimento de AD domain e filtragem de vítimas | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 framework | Deploy pós-reconhecimento em alvos de alto valor - precedendo ransomware | | [[netsupportrat\|NetSupport RAT]] | RAT comercial | Acesso remoto em alvos de valor médio - oferta PPI para clientes terceiros | | AutoUpdater.js | Payload entrega | Filename mimicando updates legítimos (T1036.005) | | Сhrome.Updаte.zip | Payload entrega | Homoglyphs cirílicos para evasão de filtros de nome de arquivo | | Parrot TDS | Infraestrutura | Traffic Distribution System para filtragem anti-bot e geolocalização | | Keitaro TDS | Infraestrutura | TDS alternativo, usado em campanhas de desinformação russas | ## Timeline ```mermaid timeline title Mustard Tempest / SocGholish - Cronologia 2017-12 : Primeiros registros SocGholish/FakeUpdates : Sites WordPress comprometidos como vetor 2018 : Malwarebytes documenta FakeUpdates : Crescimento da rede de sites comprometidos : Modelo de fake browser update estabelecido 2019 : Evil Corp (GOLD DRAKE) adota SocGholish : Yakubets e Evil Corp sancionados pelo OFAC : IAB model monetizado via parceria Evil Corp 2022 : Secureworks documenta GOLD PRELUDE : Proofpoint documenta TA569 e modelo PPI : NetSupport RAT adicionado ao portfolio PPI 2023 : Microsoft nomeia DEV-0206/Mustard Tempest : MITRE ATT&CK cria G1020 2024 : CIS: Top malware Q4 2024 : 1.5M interações em uma semana (outubro) : EUA + AU + UK: novas sanções Evil Corp : Indrik Spider/Yakubets indiciados formalmente 2025 : Operações contínuas confirmadas : Venda de acesso à Unidade 29155 GRU (SilentPush) ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Malvertising | [[t1583-008-malvertising\|T1583.008]] | Anúncios falsos de atualizações de software em plataformas de ads | | Compromise Domains | [[t1584-001-domains\|T1584.001]] | Rede global de 10.000+ sites WordPress/Joomla comprometidos | | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Visita a site comprometido aciona download automático | | Drive-by Target | [[t1608-004-drive-by-target\|T1608.004]] | JavaScript injetado em sites legítimos para infectar visitantes | | SEO Poisoning | [[t1608-006-seo-poisoning\|T1608.006]] | Envenenamento de resultados de busca para fake software updates | | Masquerading | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | AutoUpdater.js, homoglyphs cirílicos em nomes de arquivo | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Reconhecimento automático: AD domain membership, processos, usuário | | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Emails com links para sites comprometidos como vetor alternativo | | JavaScript | [[t1059-007-javascript\|T1059.007]] | SocGholish é inteiramente JavaScript - loader inicial e reconhecimento | ## Relevância para o Brasil e LATAM > [!latam] SocGholish com Alcance Global - Risco Real para Brasil > O SocGholish usa **geolocalização IP** para filtrar vítimas - Secureworks documenta foco em **América do Norte, Europa e Ásia-Pacífico**. O Brasil está fora do foco primário, mas a expansão do grupo e presença de clientes PPI globais representa risco crescente. Fatores de risco para o Brasil: - **Sites brasileiros comprometidos**: a rede SocGholish compromete qualquer site WordPress/Joomla vulnerável globalmente - sites brasileiros de notícias, e-commerce e empresas são alvos de comprometimento (não apenas vítimas finais) - **Ransomware downstream**: Evil Corp e LockBit - os principais clientes de acesso do Mustard Tempest - têm histórico de atacar empresas brasileiras. Acesso via SocGholish pode preceder um ataque de ransomware no Brasil - **Modelo PPI global**: clientes PPI do grupo incluem operadores de infostealers como RedLine e IcedID que afetam usuários brasileiros via download de fake updates - **Desenvolvedores e TI**: a rede SocGholish que afeta a Unidade 29155 do GRU indica que o grupo vende acesso sem distinção geográfica quando o cliente paga - **Fake update em português**: usuários brasileiros menos familiarizados com atualizações legítimas de browser são alvos ideais para lures de fake update Mitigações específicas: 1. Bloquear execução de arquivos .js e .zip baixados de sites de terceiros (não Microsoft/Google) 2. Monitorar `wscript.exe` e `cscript.exe` executando JavaScript de diretórios de Download 3. Usar browser extension ou proxy para bloquear padrões de Parrot TDS (domínios .top com estrutura de redirect) ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | wscript.exe ou cscript.exe executando .js de %USERPROFILE%\Downloads | EDR: alertas para Windows Script Host executando arquivos de Downloads | | AutoUpdater.js ou Сhrome.Updаte.zip baixados por browser | Proxy/EDR: alertas para downloads de arquivos .js de domínios não-corporativos | | Reconhecimento de AD domain por processo de script logo após instalação | EDR: correlação de LDAP queries ou nltest.exe executados por wscript.exe | | Cobalt Strike beacon após execução de script JavaScript de usuário comum | EDR: alertas para processos de script criando conexões C2 de alta entropia | | Site corporativo servindo JavaScript de domínio externo via iframe | WAF/Proxy: detecção de iframes ou scripts de domínios externos em sites próprios | **Mitigações prioritárias:** 1. Desabilitar Windows Script Host (WSH) via GPO em estações que não precisam de VBScript/JScript 2. Application control para bloquear execução de .js não assinados fora de diretórios de sistema 3. Monitorar sites corporativos para injeções JavaScript - WAF com regras anti-injection 4. Treinamento de conscientização: nunca instalar "atualizações de browser" de sites que não sejam o próprio browser ## Referências - [1](https://attack.mitre.org/groups/G1020/) MITRE ATT&CK - Mustard Tempest G1020 - [2](https://www.secureworks.com/research/threat-profiles/gold-prelude) Secureworks - GOLD PRELUDE Threat Profile (2024) - [3](https://www.proofpoint.com/us/blog/threat-insight/ta569-socgholish-and-beyond) Proofpoint - TA569: SocGholish and Beyond (2023) - [4](https://www.silentpush.com/blog/socgholish/) Silent Push - Unmasking SocGholish (2025) - [5](https://www.intel471.com/blog/threat-hunting-case-study-socgholish) Intel 471 - Threat Hunting: SocGholish (2025) - [6](https://redcanary.com/blog/threat-intelligence/socgholish/) Red Canary - SocGholish 2024 Threat Detection Report (2024) **Malware:** [[s1124-socgholish|SocGholish]] · [[s0154-cobalt-strike|Cobalt Strike]] · [[netsupportrat|NetSupport RAT]] **Setores alvejados:** [[technology|Tecnologia]] · [[financial|Financeiro]] · [[manufacturing|Manufatura]] **Grupos relacionados:** [[g0119-indrik-spider|Indrik Spider/Evil Corp]] (cliente principal de IAB) · [[lockbit|LockBit]] (cliente ransomware) · [[g0032-lazarus-group|GRU Unit 29155]] (cliente via Raspberry Robin)