g1041-sea-turtle - RunkIntel

# Sea Turtle > [!danger] Sea Turtle - Espionagem Turca via Hijacking de DNS > Sea Turtle (Marbled Dust, Teal Kurma) e um agente de ameaça com vinculos ao Estado turco, notorio por comprometer **registradores de dominios e infraestrutura de DNS** para sequestrar o trafego de vitimas. Ativo desde pelo menos 2017, o grupo atua contra governos, telecomúnicacoes, ISPs e midia em paises do interesse geopolitico da Turquia - especialmente critica de curdos, oposicao politica e alvos em regiao do Mar Egeu e Oriente Medio. Em 2025, a Microsoft atribuiu ao grupo (como Marbled Dust) a exploração do zero-day **CVE-2025-27920** no Output Messenger contra militares curdos no Iraque. ## Visão Geral **Sea Turtle** (rastreado pela Microsoft como Marbled Dust e anteriormente como SILICON e Cosmic Wolf) e um grupo APT com atribuicao moderada-alta ao Estado turco. O grupo se tornou mundialmente conhecido em 2019 por uma campanha sem precedentes de comprometimento de registradores de dominios para realizar **DNS hijacking** - redirecionando dominios legitimos de governos e empresas para servidores sob controle do grupo, coletando credenciais em escala. **Caracteristicas distintivas:** - **Especialidade única em DNS hijacking**: comprometimento de registradores de ccTLD para modificar registros DNS antes que a vitima final sejá atacada - **Operacoes de Supply Chain via DNS**: alvos intermediarios (registradores, ISPs) sao usados como trampolim para alvos finais de alto valor - **Foco geopolitico turco**: diaspora curda, oposicao politica, grupos armados curdos (PKK/YPG), vizinhos do Egeu (Grecia, Cipreste) - **Zero-days proprios**: o grupo desenvolve ou adquire exploits para software empresarial (Output Messenger 2025) - **Expansao para Europa Ocidental**: campanha documentada pela Hunt & Hackett contra empresas de telecomúnicacoes e tecnologia na Holanda (2023-2024) ```mermaid graph TB A["Reconhecimento Mapeamento de registradores DNS Identificação de provedores ccTLD"] --> B["Comprometimento do Registrador Exploits ou credenciais roubadas Acesso ao painel de administracao"] B --> C["DNS Hijacking Modificacao de registros NS/A Apontando para infra propria"] C --> D["Certificado SSL falso Let's Encrypt ou certificado roubado T1608.003 - Install Digital Cert"] D --> E["Intercepção de Credenciais Portal de login falsificado T1114.001 - Email Collection"] E --> F["Acesso Persistente SnappyTCP reverse shell Coleta de dados estratégicos"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#d68910,color:#fff style F fill:#196f3d,color:#fff ``` ## Campanhas Recentes (2023-2026) ### Campanha Telecom Holandesa - 2023-2024 A empresa de threat intelligence holandesa **Hunt & Hackett** públicou relatorio detalhado sobre campanha do Sea Turtle contra múltiplas organizacoes na Holanda: **Alvos confirmados:** - Operadoras de telecomúnicacoes holandesas - Provedores de servicos de Internet (ISPs) - Empresas de tecnologia de midia - Organizacoes de pesquisa relacionadas a Turquia/Curdistao **Método:** - Comprometimento de contas Linux/Unix via credenciais vazadas ou brute-force - Deploy do **SnappyTCP** - shell reverso customizado para sistemas Linux/Unix - Coleta de emails, documentos e dados de clientes relacionados a comunidade curda na Holanda - Limpeza de logs para remover evidências (T1070.002) ### Output Messenger Zero-Day - CVE-2025-27920 (Maio 2025) A Microsoft atribuiu ao Marbled Dust (Sea Turtle) a exploração de **CVE-2025-27920**, um zero-day no **Output Messenger** - plataforma de comunicação empresarial interna usada principalmente no Oriente Medio: **Detalhes da campanha:** - Alvo primario: militares e grupos armados curdos no norte do Iraque (KRI - Kurdistan Regional Government) - Vetor: exploração do zero-day antes do patch disponível (true zero-day) - Payload: backdoor distribuido via servidor Output Messenger comprometido como supply chain - Objetivo: coleta de inteligência sobre operações militares e comúnicacoes internas **Contexto geopolitico:** O interesse turco em vigilancia de grupos curdos armados (PKK/YPG) e bem documentado. Esta campanha se enquadra em operações de inteligência turca contra ameaças percebidas na fronteira iraquiana. ### Campanha Inicial 2017-2019 (Global DNS Hijacking) A Cisco Talos documentou a campanha inaugural do grupo em 2019: - Comprometimento de **5+ registradores de dominios** em múltiplos paises - DNS hijacking de dominios de ministerios, embaixadas e ISPs no Oriente Medio - Paises afetados: Armenia, Azerbaijao, Chipre, Grecia, Irak, Jordania, Libano, Libia ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s1163-snappytcp\|SnappyTCP]] | Reverse shell | Shell reverso para Linux/Unix - persistência em servidores comprometidos | | Curl + Wget | Utilitarios nativos | Download de payloads adicionais em hosts comprometidos | | 7-Zip / RAR | Compressao | Compressao e staging de dados antes da exfiltração | | PuTTY/SSH | Acesso remoto | Acesso persistente via SSH após comprometimento | ## TTPs Mapeados | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------|| | Resource Dev | DNS Server | [[t1583-002-dns-server\|T1583.002]] | Criação de servidores DNS sob controle do grupo para intercepção | | Resource Dev | Digital Certificates | [[t1588-004-digital-certificates\|T1588.004]] | Aquisicao de certificados SSL para portais de login falsos | | Initial Access | Exploit Public App | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2025-27920 Output Messenger zero-day | | Initial Access | External Remote | [[t1133-external-remote-services\|T1133]] | Acesso via SSH com credenciais comprometidas | | Collection | Email Collection | [[t1114-001-local-email-collection\|T1114.001]] | Coleta de emails via intercepção DNS em servidores de email | | Defense Evasion | Clear Linux Logs | [[t1070-002-clear-linux-or-mac-system-logs\|T1070.002]] | Remoção de logs em hosts Linux comprometidos | | Defense Evasion | Impair History | [[t1562-003-impair-command-history-logging\|T1562.003]] | Desativacao do historico de comandos em shells | | Exfiltration | Archive via Utility | [[t1560-001-archive-via-utility\|T1560.001]] | Compressao de dados com RAR/7-zip antes de exfiltração | ## Timeline ```mermaid timeline title Sea Turtle - Linha do Tempo 2017 : Primeiras atividades de DNS hijacking 2019 : Cisco Talos expoe campanha global : 5+ registradores comprometidos : Oriente Medio e Europa 2020-2021 : Expansao de operacoes : Foco em dissidentes curdos 2023-2024 : Campanha Holanda - Hunt Hackett : Telecomúnicacoes e ISPs europeus 2025-05 : Output Messenger CVE-2025-27920 : Zero-day contra militares curdos no Iraque : Microsoft atribui como Marbled Dust 2025-2026 : Operacoes ativas continuam ``` ## Relevância para o Brasil e LATAM > [!warning] Risco Indireto - Infraestrutura de DNS e Supply Chain > O Sea Turtle nao possui campanhas documentadas contra alvos brasileiros ou latino-americanos. Contudo, a **capacidade única do grupo de comprometer registradores de dominios** representa risco sistemico para qualquer infraestrutura de Internet. O registro.br e responsavel pelo ccTLD .br de toda a Internet brasileira - um comprometimento desse registrador teria impacto devastador. Alem disso, o modelo de operação do grupo via supply chain de DNS e **replicavel contra qualquer pais** onde exista interesse geopolitico ou presenca de diaspora turca. **Cenários de risco indireto para o Brasil:** - Organizacoes brasileiras usando provedores de DNS ou hospedagem internacionais que possam ser alvos do grupo - Empresas com presenca na Turquia ou Oriente Medio como ponto de entrada para comprometimento de redes globais - Provedores de comunicação (ISPs, telecoms) com relacionamentos internacionais **Recomendacoes de defesa:** - Implementar **DNSSEC** em todos os dominios públicos criticos - Monitoramento de mudanças em registros DNS (especialmente registros NS) - Autenticação multifator em contas de registrador de dominio - Verificação de certificados SSL por Certificaté Transparency logs ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Mudanças incomuns em registros DNS para seu dominio | Monitoramento continuo via CT logs e ferramentas de DNS monitoring | | Certificado SSL diferente do esperado | Certificaté pinning e verificação de fingerprints | | Conexoes SSH de IPs incomuns para servidores Linux | Alertas para logins SSH de paises/IPs incomuns | | Processo SnappyTCP em sistemas Linux | Detecção de binarios nao-reconhecidos em servidores | | Historico de bash desativado em hosts Linux | Auditoria de configuração de shell em servidores | ## Referências - [1](https://attack.mitre.org/groups/G1041/) MITRE ATT&CK - G1041 Sea Turtle (2024) - [2](https://www.microsoft.com/en-us/security/blog/2025/05/20/marbled-dust-exploits-output-messenger-zero-day/) Microsoft - Marbled Dust Exploits Output Messenger Zero-Day CVE-2025-27920 (Mai 2025) - [3](https://www.huntandhackett.com/blog/sea-turtle-in-the-netherlands) Hunt & Hackett - Sea Turtle Spies on Dutch ISPs and Telecoms (Ján 2024) - [4](https://blog.talosintelligence.com/sea-turtle-keeps-swimming/) Cisco Talos - Sea Turtle Keeps Swimming: DNS Hijacking Campaign (Apr 2019) - [5](https://thehackernews.com/2025/05/marbled-dust-uses-output-messenger-flaw.html) The Hacker News - Marbled Dust Uses Output Messenger Flaw for Kurdish Military Surveillance (Mai 2025) **Atores relacionados:** [[g0067-apt37|APT37]] (similar DNS focus) · [[g0087-apt39|APT39]] **Malware e ferramentas:** [[s1163-snappytcp|SnappyTCP]] **CVEs exploradas:** [[cve-2025-27920|CVE-2025-27920 - Output Messenger]] **TTPs principais:** [[t1583-002-dns-server|T1583.002]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1114-001-local-email-collection|T1114.001]] · [[t1070-002-clear-linux-or-mac-system-logs|T1070.002]] **Setores alvejados:** [[telecommunications|Telecomúnicacoes]] · [[government|Governo]] · [[technology|Tecnologia]] · [[media|Midia]]