# Moonstone Sleet > [!info] Grupo Norte-Coreano em Rápida Evolução > **Moonstone Sleet** (Storm-1789) é um ator de ameaça norte-coreano identificado pela Microsoft em **maio de 2024**, notavel por combinar **objetivos financeiros e de espionagem** com métodos de entrega altamente criativos: jogo de tanques trojanizado, pacotes npm maliciosos e empresas de fachada fictícias. Em 2025 o grupo aderiu ao **Qilin RaaS** como afiliado e lançou a "Korean Leaks" - operação de extorsão que comprometeu 28 gestoras de ativos sul-coreanas via MSP e exigiu US$ 6,6 milhões em Bitcoin. ## Visão Geral **Moonstone Sleet** foi identificado pela Microsoft em **maio de 2024**, diferenciado do [[g0032-lazarus-group|Lazarus Group]] a partir de 2023 por desenvolver capacidades e infraestrutura completamente independentes. O grupo representa a mais recente geração de operadores norte-coreanos, combinando sofisticação técnica com engenharia social criativa. **Visão geral:** - Origem: **Coreia do Norte** (RGB - Reconnaissance General Bureau, probable) - Identificado pela Microsoft: **maio de 2024** (ativo desde pelo menos 2023) - Motivação dual: **financeiro** (ransomware, roubo cripto) + **espionagem** (IP tecnico) - Característica única: criação de **empresas fictícias** (StarGlow Ventures, C.C. Waterfall) como fachada para abordagem de vitimas - **FakePenny ransomware**: criação própria com demanda confirmada de **US$ 6,6 milhões em BTC** (2025) - Afiliado Qilin RaaS desde **fevereiro de 2025** - Arsenal inovador: jogo de tanques DeTankWar, pacotes npm maliciosos, PuTTY trojanizado **Evolução rápida:** o grupo demonstrou capacidade de desenvolver novas ferramentas e adaptar métodos de entrega rapidamente - característica de uma equipe bem financiada e técnicamente competente dentro do ecossistema cibernético da DPRK. ## Campanhas Documentadas ### Korean Leaks Operation - Setembro 2025 A operação mais significativa do grupo. Via comprometimento de um **provedor de serviços gerenciados (MSP)** não identificado, o Moonstone Sleet acessou 28 gestoras de ativos sul-coreanas, exfiltrou dados financeiros e de clientes, e exigiu US$ 6,6 milhões em BTC. Os fundos gerenciados pelas empresas alvo somavam centenas de bilhões de Won. **Ransomware utilizado:** [[qilin|Qilin]] (afiliação RaaS) ### FakePenny Ransomware Campaign - 2024 a 2025 Uso do ransomware proprietario **FakePenny** em ataques a empresas de tecnologia e defesa. Ao contrário do Qilin (RaaS externo), FakePenny é desenvolvimento interno do Moonstone Sleet. A demanda de US$ 6,6 milhões documentada foi a primeira divulgada públicamente para o grupo. ### DeTankWar Game Campaign - 2024 Campanha de engenharia social distribuindo um **jogo de tanques multiplayer funcionalmente operacional** chamado DeTankWar. O jogo era real e jogavel, mas incluía malware embutido que era ativado quando o usuario completava o cadastro inicial. Vitimas eram abordadas via LinkedIn por representantes das empresas fictícias StarGlow Ventures e C.C. Waterfall. ### PuTTY e npm Trojanizados - 2023 a 2024 Distribuição de versões trojanizadas do software de terminal SSH PuTTY e pacotes npm maliciosos em repositórios públicos. Os pacotes pareciam utilitarios legitimos de desenvolvimento mas executavam loaders de malware após instalação. ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[qilin\|Qilin]] | Ransomware RaaS | Ransomware cross-platform (Windows/Linux/ESXi) - afiliação ativa desde fev 2025 | | [[fakepenny\|FakePenny]] | Ransomware proprietário | Ransomware de desenvolvimento interno com demanda confirmada de US$ 6,6M BTC | | [[detankwar\|DeTankWar]] | Trojanized game | Jogo de tanques funcional com malware embutido - vetor de entrega criativo | | PuTTY trojanizado | Trojanized software | Versão maliciosa de SSH client - loader de segunda fase | | Pacotes npm | Supply chain | Pacotes maliciosos em repositório npm para desenvolvedores | | StarGlow Ventures | Persona fictícia | Empresa de fachada para abordagem profissional de vitimas via LinkedIn | ## Attack Flow - Campanha DeTankWar/FakePenny ```mermaid graph TB A["👔 Empresa Fictícia<br/>StarGlow Ventures / C.C. Waterfall<br/>Abordagem no LinkedIn"] --> B["🎮 DeTankWar Game<br/>Jogo funcional trojanizado<br/>T1204.002 Malicious File"] B --> C["🐚 Loader Embutido<br/>Ativação pós-cadastro<br/>T1027 Obfuscated payload"] C --> D["📊 Reconhecimento<br/>T1033 System Owner<br/>T1016 Network Config"] D --> E["🔑 LSASS Dump<br/>T1003.001 Mimikatz<br/>Credenciais privilegiadas"] E --> F["💰 Deploy Ransomware<br/>FakePenny ou Qilin<br/>Dupla extorsão"] ``` ## Timeline do Grupo ```mermaid timeline title Moonstone Sleet - Linha do Tempo 2023 : Grupo diferenciado do Lazarus Group : PuTTY e npm trojanizados : Infraestrutura independente estabelecida 2024 : Identificado pela Microsoft (Maio) : DeTankWar game campaign : Empresas fictícias StarGlow/C.C. Waterfall 2025 : FakePenny ransomware deployment : US$ 6.6M BTC demanda confirmada : Afiliação Qilin RaaS (Fevereiro) : Korean Leaks - 28 gestoras de ativos : MSP como vetor de acesso 2026 : Evolução contínua do arsenal : Monitoramento pela Microsoft MSTIC ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Distribuição de game/software trojanizado via LinkedIn | | Initial Access | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Pacotes npm maliciosos e PuTTY trojanizado | | Resource Development | Email Accounts | [[t1585-002-email-accounts\|T1585.002]] | Criação de contas de email para empresas fictícias | | Resource Development | Malware Development | [[t1587-001-malware\|T1587.001]] | Desenvolvimento do FakePenny e DeTankWar em-house | | Reconnaissance | Gather Victim Org Info | [[t1591-gather-victim-org-information\|T1591]] | Pesquisa extensiva de alvos antes do contato inicial | | Persistence | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Persistência via tarefas agendadas após comprometimento | | Credential Access | LSASS Memory | [[t1003-001-lsass-memory\|T1003.001]] | Dump de credenciais para movimentação lateral | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads ofuscados dentro de software funcional | ## Relevância para o Brasil e LATAM > [!info] Ameaça Emergente - Evolução Rápida e Foco em Financeiro > O Moonstone Sleet não tem campanhas confirmadas no Brasil, mas sua **rápida evolução** e **adição de Qilin RaaS** o tornam uma ameaça a monitorar. A "Korean Leaks" de 2025 demonstra que o grupo pode comprometer **provedores de serviços gerenciados (MSPs)** para acessar múltiplas organizações simultaneamente - vetor de alto impacto no Brasil, onde MSPs servem centenas de pequenas e medias empresas. **Vetores de risco potencial para o Brasil:** - **MSPs e integradores de TI brasileiros**: o modelo de ataque via MSP (Korean Leaks) é diretamente replicavel no Brasil, onde MSPs menores frequentemente gerenciam redes de múltiplas empresas financeiras sem segmentação adequada - **Desenvolvedores de software**: pacotes npm e software trojanizado são vetores eficazes contra a crescente comunidade de desenvolvedores brasileiros - **Profissionais de tecnologia e defesa no LinkedIn**: o modelo de empresa fictícia é especialmente perigoso para profissionais que recebem propostas de emprego de empresas estrangeiras desconhecidas - **Gestoras de ativos e fintechs**: o Korean Leaks demonstra interesse específico em setor financeiro - fintechs e gestoras brasileiras são perfil compatível **Indicadores de abordagem inicial:** - Contato via LinkedIn de empresa de tecnologia desconhecida com nome generico em inglês - Oferta para testar ou desenvolver um jogo ou aplicativo com incentivo financeiro - Pacote npm com nome similar a bibliotecas populares mas com funcionalidade adicional estranha - Convite para trabalhar em projeto de "blockchain" ou "gaming" por empresa recém-criada ## Detecção **Regras de detecção:** - Processo de jogo ou software desconhecido estabelecendo conexão de saída para VPS recentemente registrado - Pacote npm instalado com scripts `postinstall` que executam código de download - Processo PowerShell executando scripts ofuscados a partir de diretorio de instalação de jogos - Scheduled Task criada por processo de software de terceiro recém-instalado - LSASS memory access por processo associado a software de entretenimento ou utilitario de usuario ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor/) Microsoft MSTIC - Moonstone Sleet Emerges (2024) - [2](https://attack.mitre.org/groups/G1036) MITRE ATT&CK - Moonstone Sleet (G1036) - [3](https://www.sentinelone.com/labs/moonstone-sleet-qilin-raas/) SentinelOne - Moonstone Sleet Qilin Affiliaté (2025) - [4](https://www.microsoft.com/en-us/security/blog/2025/09/korean-leaks-moonstone-sleet/) Microsoft MSTIC - Korean Leaks Operation (2025) - [5](https://www.recordedfuture.com/moonstone-sleet-north-korea-2025) Recorded Future - Moonstone Sleet Profile (2025) **Atores relacionados:** [[g0032-lazarus-group|Lazarus Group]] · [[g0067-apt37|APT37]] · [[g0082-apt38|APT38]] **Campanhas:** [[korean-leaks-operation-2025|Korean Leaks 2025]] · [[detankwar-game-campaign|DeTankWar Game Campaign]] · [[moonstone-sleet-qilin-campaign|Qilin RaaS Campaign]] **Malware e ferramentas:** [[qilin|Qilin]] · [[fakepenny|FakePenny]] · [[detankwar|DeTankWar]] **TTPs principais:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1195-002-compromise-software-supply-chain|T1195.002]] · [[t1587-001-malware|T1587.001]] · [[t1591-gather-victim-org-information|T1591]] **Setores alvejados:** [[technology|Tecnologia]] · [[defense|Defesa]] · [[financial|Financeiro]] · [[aerospace|Aeroespacial]]