g1028-apt-c-23 - RunkIntel

# APT-C-23 ## Visão Geral O **APT-C-23** (também rastreado como **Arid Viper**, **Mantis** e **Desert Falcon**) e um grupo de ameaça provavelmente de origem palestina, suspeito de operar com patrocinio ou alinhamento ao Hamas. Ativo desde pelo menos **2013**, o grupo especializou-se em **espionagem via spyware movel para Android e iOS**, com operações focadas no Medio Oriente - em especial contra ativos militares israelenses e dissidentes politicos. Ao longo de mais de uma decada de atividade, o APT-C-23 demonstrou capacidade de **evolução continua de toolsets**: de malware Windows básico (2013-2015) para spyware Android sofisticado (2017-presente), incluindo o primeiro implante iOS customizado (**Phenakite**) desenvolvido por um grupo de medio porte no Medio Oriente. Em 2024, o grupo lanou a campanha **AridSpy** - cinco campanhas simultaneas distribuindo spyware Android multistagio via apps trojanizados, tres das quais ainda ativas em meados de 2024 segundo a ESET. O perfil do APT-C-23 como caso de estudo em spyware movel motivado politicamente e relevante para a [[_feed|comunidade CTI global]], especialmente pela interseção com o conflito Israel-Hamas e pelo padrao de persistência operacional contra os mesmos alvos. ```mermaid graph TB A["Engenharia Social Perfis falsos em redes sociais"] --> B["Distribuição App Sites falsos imitando apps legit (LapizaChat)"] B --> C["Instalacao Stage 1 AridSpy - verifica ausencia de AV"] C --> D["Download Stage 2 Payload Firebase C2 via first-stage"] D --> E["Coleta Dados GPS, SMS, WhatsApp Chamadas, camera frontal"] E --> F["Exfiltração C2 Firebase + servidor dedicado de exfil"] style A fill:#e67e22,color:#fff style B fill:#c0392b,color:#fff style C fill:#3498db,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2c3e50,color:#fff style F fill:#196f3d,color:#fff ``` ## Atribuicao O grupo opera predominantemente no contexto do conflito israelense-palestino. Pesquisadores atribuem o APT-C-23 com confiança media-alta a atores com nexo ao Hamas, baseados em: - Concentracao quase exclusiva em alvos israelenses (Forcas de Defesa de Israel - IDF) - Infraestrutura de C2 localizada em regioes de controle do Hamas - Sobreposicao com atividades conhecidas de vigilancia pro-Hamas - Tematica politica consistente nos decoy documents e apps trojanizados - Relato da Meta (2021) expondo operadores do grupo com identidades rastreadas ## Arsenal de Spyware - Evolução Historica O APT-C-23 desenvolveu múltiplas familias de spyware Android ao longo de uma decada, demonstrando investimento continuo em R&D ofensivo: ### [[aridspy|AridSpy]] (2022-presente) Spyware Android multistagio - a geracao mais recente do grupo. Distribuido via 5 campanhas simultaneas em 2024 (ESET). Capacidades: - Stage 1: baixado por app trojanizado, persiste mesmo após desinstalacao do app original - Stage 2: payload C2 via Firebase, coleta extensiva de dados - Verificação anti-AV antes de execução (lista de AVs hardcoded) - Exfiltração ao conectar/desconectar carregador, chamar/receber chamadas, reinicio ### [[spyc23|SpyC23]] (2019-2023) Spyware Android primario. Versoes 2022-2023 distribuidas via apps imitando Telegram e Skipped Messenger. Capacidades avancadas: - Gravacao de audio/video em tempo real - Interceptação de chamadas WhatsApp - Captura de SMS, contatos e registros de chamadas - Rastreamento de localização GPS - Anti-decompilacao e anti-virtualizacao ### [[phenakite|Phenakite]] (2021) Primeiro implante iOS do grupo - spyware sem jáilbreak usando exploit Sock Port e jáilbreak Osiris. Distribuido via sites falsos de aplicativos iOS. Perturbado pela Meta/Facebook em 2021 após revogacao de certificados de desenvolvedor. ### [[s0339-micropsia|Micropsia]] (2017-presente) Implante Delphi para Windows com capacidades RAT: keylogging, captura de tela, descoberta de aplicativos, uso de WMI. Versao Python e Android também documentadas. Ainda em uso ativo em campanhas contra entidades palestinas (Talos, 2022). ## Campanhas Notaveis ```mermaid graph TB C1["2015 Primeira exposicao publica alvos no Oriente Medio"] --> C2["2017 VIPERRAT Mobile alvos de alto perfil"] C2 --> C3["2018 Operation Bearded Barbie funcionarios israelenses IDF"] --> C4["2021 Micropsia Windows entidades palestinas"] C4 --> C5["2022-2023 SpyC23 via Telegram apps trojanizados"] --> C6["2024 AridSpy - 5 campanhas Palestina e Egito ativos"] style C1 fill:#7f8c8d,color:#fff style C2 fill:#c0392b,color:#fff style C3 fill:#e74c3c,color:#fff style C4 fill:#e67e22,color:#fff style C5 fill:#d35400,color:#fff style C6 fill:#c0392b,color:#fff ``` | Campanha | Período | Alvo | Técnica | |----------|---------|------|---------| | VIPERRAT Mobile | 2017-2018 | Alvos de alto perfil Medio Oriente | SpyC23 via apps Android | | Operation Bearded Barbie | 2018-2020 | Soldados IDF | Perfis falsos + apps romanceados | | Micropsia Campaign | 2021-2022 | Entidades palestinas | Delphi RAT + lures politicos | | AridSpy Campaign | 2022-2024 | Palestina e Egito | LapizaChat/NortirChat/ReblyChat | | Palestine Civil Registry | 2023-2024 | Cidadaos palestinos | App trojanizado do Registro Civil | ## Técnicas de Ataque O vetor primario de infecção e **engenharia social** via dispositivos moveis: | Técnica | ID | Descrição | |---------|-----|-----------| | Phishing | [[t1566-phishing\|T1566]] | Spearphishing via redes sociais e apps de mensagem | | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links maliciosos para instalacao de spyware | | Execução pelo Usuario | [[t1204-001-malicious-link\|T1204.001]] | Engajamento social precede instalacao | | Captura de Tela | [[t1113-screen-capture\|T1113]] | Screenshots automaticos a cada lock/unlock | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de digitacao em WhatsApp e outros | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência via BOOT_COMPLETED broadcast | ## Infraestrutura e Indicadores - Distribuição via sites dedicados (nunca Google Play oficial) - C2 via Firebase Cloud Messaging (FCM) + dominio proprio de exfiltração - Sites impersonando apps legítimos: LapizaChat (base: StealthChat), NortirChat (Session), ReblyChat (Voxer) - Gatilhos de exfiltração: mudança de conectividade, instalacao de apps, chamadas, SMS, reinicio - Foto via camera frontal ao lock/unlock do dispositivo (se > 40min desde ultima foto e bateria > 15%) ## Relevância para o Brasil e LATAM O APT-C-23 nao possui registro de campanhas direcionadas contra o Brasil ou América Latina. O foco exclusivo no contexto do Medio Oriente (Israel-Palestina) deixa a regiao fora do escopo operacional atual. Entretanto, as **técnicas de spyware movel e engenharia social via redes sociais** desenvolvidas pelo grupo representam um modelo replicavel por atores regionais na LATAM: - Método de perfis romantizados falsos pode ser adaptado por grupos de espionagem regional contra **diplomaticos, militares e figuras politicas** no Brasil - Grupos de crime organizado com capacidade técnica crescente já utilizaram técnicas similares no Brasil (ex: spyware comercial vendido a governos da regiao) - O modelo AridSpy de spyware multistagio (que persiste após desinstalacao do app host) e técnicamente sofisticado para o porte do grupo Alvos potencialmente analogos no contexto LATAM: [[government|diplomaticos]], [[military|pessoal militar]], [[media|jornalistas]] criticos a regimes. ## Referências - [MITRE ATT&CK - G1028](https://attack.mitre.org/groups/G1028/) - [ESET - AridSpy Android spyware (Jun 2024)](https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy/) - [SentinelOne - SpyC23 2022-2023](https://www.sentinelone.com/labs/arid-viper-apts-nest-of-spyc23-malware-continues-to-target-android-devices/) - [Meta/Facebook - Phenakite iOS Report (2021)](https://about.fb.com/wp-content/uploads/2021/04/Technical-threat-report-Arid-Viper-April-2021.pdf) - [Talos Intelligence - Micropsia Campaign (2022)](https://blog.talosintelligence.com/arid-viper-targets-palestine/) - [CFR - APT-C-23 Operations](https://www.cfr.org/cyber-operations/apt-c-23)