# Star Blizzard ## Visão Geral Star Blizzard (anteriormente SEABORGIUM, também rastreado como COLDRIVER e Callisto Group) e um grupo de espionagem cibernética e influencia atribuido ao **Servico Federal de Segurança da Russia (FSB - Centro 18)**. Ativo desde pelo menos 2012, o grupo especializa-se em **roubo de credenciais via spear-phishing altamente personalizado** contra alvos de alto valor: diplomaticos, jornalistas, think tanks, ONGs e organizacoes de apoio a Ucrania. Ao contrario de outros APTs russos que priorizam implantação de malware, **Star Blizzard foca em acceso a contas de email** através de ataques AiTM (Adversary-in-the-Middle) via EvilGinx, capturando tanto credenciais quanto tokens 2FA em tempo real. Após comprometer uma conta, o grupo cria **regras de encaminhamento de email** para monitoramento persistente da correspondencia. Em 2024-2025, o grupo demonstrou resiliencia operacional significativa: - Outubro 2024: Microsoft e DoJ **apreenderam mais de 180 dominios** usados pelo grupo - Novembro 2024: Em resposta, Star Blizzard **pivotou para comprometimento de contas WhatsApp** via QR codes - primeira vez documentada de uso desse vetor - 2025: Grupo expandiu alvos para incluir **Reporters Without Borders (RSF)** e outras ONGs com atuacao critica ao Kremlin - Adocao da técnica **ClickFix** como vetor alternativo de comprometimento **Também conhecido como:** Star Blizzard, SEABORGIUM, Callisto Group, TA446, COLDRIVER, BlueCharlie, TAG-53, Blue Callisto, Calisto, Dancing Salome, Gossamer Bear, Iron Frontier, UNC4057 ## Campanhas Recentes (2024-2025) > [!danger] Campanha WhatsApp QR Code - Novembro 2024 > Em novembro de 2024, o Star Blizzard iniciou campanha inedita direcionando alvos para grupos WhatsApp falsos sobre "iniciativas de apoio a ONGs ucranianas". Emails se passavam por funcionarios do governo americano e enviavam QR codes deliberadamente quebrados para provocar resposta da vitima. Ao responder, a vitima recebia um link que redirecionava para uma pagina com QR code para vincular sua conta WhatsApp a um dispositivo controlado pelo atacante. > [!warning] Apreensao de Dominios e Resiliencia Operacional - Out 2024 > Entre janeiro 2023 e agosto 2024, Star Blizzard conduziu campanhas intensas contra jornalistas, think tanks e ONGs. A Microsoft e o DoJ apreenderam mais de 180 dominios usados na operação. O grupo rapidamente migrou para novos dominios e vetores, incluindo WhatsApp e ClickFix. > [!info] RSF e ONGs - 2025 > Em marco e maio-junho de 2025, o Star Blizzard foi identificado atacando a Reporters Without Borders (RSF) via emails em frances de contas ProtonMail imitando contatos legiimos, solicitando revisao de documentos. A infraestrutura incluia paginas AiTM customizadas para ProtonMail com JavaScript injetado para manter cursor na senha e processar 2FA via API do atacante. ### Timeline ```mermaid timeline title Star Blizzard - Linha do Tempo 2012 : Primeiras atividades documentadas 2019 : Expansao para alvos da OTAN e academia 2022 : Alvos industriais de defesa e Dept. Energia EUA 2023-01 : Campanhas contra jornalistas think tanks ONGs 2023-12 : Advisory conjunto UK/EUA/OTAN sobre grupo 2024-08 : Comprometimento de 180+ dominios pelo DoJ e Microsoft 2024-11 : Primeiro uso de WhatsApp QR code como vetor de ataque 2025-03 : Ataque a RSF Reporters Without Borders via ProtonMail AiTM 2025 : Adocao de ClickFix como técnica alternativa 2025-12 : Expansao continua contra ONGs criticas ao Kremlin ``` ## Método de Ataque - Roubo de Credenciais AiTM ```mermaid graph TB A["Reconhecimento<br/>OSINT - LinkedIn redes sociais<br/>T1593 + T1589"] --> B["Perfis Falsos<br/>Impersonacao de contatos<br/>T1585.001 + T1585.002"] B --> C["Spear-phishing Inicial<br/>Email de contato conhecido<br/>ProtonMail ou Outlook"] C --> D["Link AiTM<br/>EvilGinx - pagina fake<br/>Serve credencial em tempo real"] D --> E["Captura AiTM<br/>Credenciais + token 2FA<br/>T1539 + T1550.004"] E --> F["Persistência em Email<br/>Regras de encaminhamento<br/>T1114.002 + T1114.003"] F --> G["Coleta de Inteligencia<br/>Monitoramento continuo<br/>Listas de contatos para novos alvos"] G --> H["Expansao de Alvo<br/>Contatos da vitima<br/>T1586.002"] style A fill:#1a5276,color:#fff style B fill:#2e86c1,color:#fff style C fill:#e74c3c,color:#fff style D fill:#c0392b,color:#fff style E fill:#8e44ad,color:#fff style F fill:#d68910,color:#fff style G fill:#27ae60,color:#fff style H fill:#e67e22,color:#fff ``` ## Técnicas Utilizadas - [[t1583-001-domains|T1583.001 - Domains]] - [[t1114-002-remote-email-collection|T1114.002 - Remote Email Collection]] - [[t1550-004-web-session-cookie|T1550.004 - Web Session Cookie]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1589-gather-victim-identity-information|T1589 - Gather Victim Identity Information]] - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1598-002-spearphishing-attachment|T1598.002 - Spearphishing Attachment]] - [[t1598-003-spearphishing-link|T1598.003 - Spearphishing Link]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] - [[t1114-003-email-forwarding-rule|T1114.003 - Email Forwarding Rule]] - [[t1585-001-social-media-accounts|T1585.001 - Social Media Accounts]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1586-002-email-accounts|T1586.002 - Email Accounts]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1593-search-open-websitesdomains|T1593 - Search Open Websites/Domains]] - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] ## Software Utilizado - [[s1140-spica|Spica]] - [[evilginx|EvilGinx]] ## Relevância para o Brasil e LATAM > [!warning] Risco para Jornalistas, ONGs e Diplomaticos > Star Blizzard representa ameaça direta a organizacoes brasileiras em segmentos específicos. Com a expansao documentada para **ONGs criticas ao Kremlin** e organizacoes de midia internacional (incluindo RSF), jornalistas investigativos brasileiros, ONG de direitos humanos, pesquisadores de politica externa e diplomaticos brasileiros com cobertura de assuntos russos ou ucranianos entram no perfil de alvo. O uso do **AiTM com EvilGinx** neutraliza autenticação de dois fatores (2FA) baseada em SMS/TOTP - apenas chaves fisicas FIDO2/WebAuthn oferecem proteção robusta contra esse vetor. O vetor WhatsApp QR code (novembro 2024) demonstra que qualquer canal de comunicação pode ser weaponizado. Recomenda-se MFA resistente a phishing (FIDO2) para todos os usuarios de alto valor. ## Detecção > [!tip] Sinalizadores de Detecção > - Regras de encaminhamento de email criadas para enderecos externos desconhecidos > - Login de contas corporativas de localizacoes geograficas incomuns logo após click em link > - Autenticação bem-sucedida apesar de indicadores de phishing (2FA comprometido via AiTM) > - Conexoes a dominios NameCheap ou Regway recentemente registrados que imitam organizacoes legitimas > - Emails de webmail pessoal (ProtonMail, Gmail) que impersonam colegas ou especialistas > - JavaScript injetado em paginas de login monitorando campos de senha (EvilGinx) ## Referências [1](https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts/) Microsoft - Star Blizzard WhatsApp Campaign (Ján 2025) [2](https://thehackernews.com/2025/01/russian-star-blizzard-shifts-tactics-to.html) The Hacker News - Star Blizzard Shifts to WhatsApp (Ján 2025) [3](https://www.infosecurity-magazine.com/news/star-blizzard-targets-reporters/) Infosecurity Magazine - Star Blizzard vs RSF (Dez 2025) [4](https://www.jbsa.mil/News/News/Article/3614020/us-allies-highlight-russian-state-cyber-actor-star-blizzard-spear-phishing-camp/) JBSA - Joint Advisory Star Blizzard (Dez 2023) [5](https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/russian-fsb-cyber-actor-star-blizzard-continues-worldwide-spear-phishing-campaigns) ASD ACSC - FSB Star Blizzard Advisory [6](https://attack.mitre.org/groups/G1033/) MITRE ATT&CK - G1033 Star Blizzard