g1044-apt42 - RunkIntel

# APT42 ## Visão Geral O **APT42** (rastreado como **Charming Kitten**, **Educated Manticore** e **Mint Sandstorm**) e um grupo de espionagem cibernética patrocinado pelo Iran, avaliado pela Mandiant como operando em nome da **Organização de Inteligência dos Guardas da Revolução Islamica (IRGC-IO)**. Ativo desde pelo menos 2015, o grupo e especializado em tres modelos de operação: **coleta de credenciais via phishing social engenhoso**, **vigilancia via spyware movel** e **implantação de malware customizado**. O APT42 e notavel pela **sofisticacao das operações de engenharia social**, nao pela complexidade técnica de seu malware. O grupo constroi relacionamentos prolongados com alvos por WhatsApp e email antes de enviar links maliciosos - muitas vezes propondo reunioes pessoais ou convites a conferencias para aumentar credibilidade. Em 2025-2026, o grupo intensificou ataques contra jornalistas, academicos e especialistas em cibersegurança israelenses, usando **kits de phishing React personalizados** que capturam credenciais e códigos 2FA em tempo real via WebSocket - uma escalada significativa de sofisticacao técnica. O grupo alvejou figuras das campanhas presidenciais dos EUA em 2024 (Trump e Biden), jornalistas do The Washington Post, The Economist, Jerusalem Post, e membros de ONGs de direitos humanos em todo o mundo. ```mermaid graph TB A["Contato inicial WhatsApp ou email persona ficticia de confianca"] --> B["Construcao de confianca Correspondencia prolongada Convite para reuniao/conferencia"] B --> C["Link para phishing Pagina Google/Outlook/Yahoo pre-preenchida com email alvo"] C --> D["Kit React WebSocket Captura credenciais em RT Intercept 2FA em tempo real"] D --> E["Acesso a conta Email + cloud storage Dados exfiltrados silenciosamente"] E --> F["Alvos confirmados Jornalistas, NGOs, diplomaticos 130+ dominios de phishing"] style A fill:#2980b9,color:#fff style B fill:#8e44ad,color:#fff style C fill:#e67e22,color:#fff style D fill:#c0392b,color:#fff style E fill:#2c3e50,color:#fff style F fill:#196f3d,color:#fff ``` ## Atribuicao O APT42 e atribuido ao **IRGC-IO** com **alta confiança** com base em: - Mandiant, Google, Microsoft, Proofpoint e IBM X-Force confirmam independentemente a atribuicao - Foco em alvos percebidos como ameaças ao regime iraniano (jornalistas criticos, ativistas de direitos humanos, dissidentes da diaspora irani) - IP baseado em Teer registrado acessando contas comprometidas em campanhas HRW/Amnesty International (2022) - Sancoes do OFAC (Office of Foreign Asset Control) do Tesouro dos EUA em setembro de 2022 contra membros afiliados - Sobreposicao com campanha de interferencia eleitoral nos EUA (2024 presidencial) ## Arsenal - Tres Clusters Operacionais O APT42 opera via tres clusters distintos de infraestrutura, cada um com padrao de mascaramento diferente: **Cluster A** - Impersona outlets de midia e NGOs: - Alvos: jornalistas, pesquisadores, entidades geopoliticas de interesse do Iran - Mascaras: The Washington Post, The Economist, Jerusalem Post, Khaleej Times - Dominios typosquatted (ex: washinqtonpost[.]press) **Cluster B** - Impersona servicos legitimos: - Alvos: pesquisadores, jornalistas, lideres de ONGs, ativistas de direitos humanos - Mascaras: paginas genericas de login, file hosting, YouTube - TLDs comuns: .top, .online, .site, .live **Cluster C** - Impersona universidades e servicos corporativos: - Alvos: setores de politica e governo - Mascaras: Mailer Daemon, servico Bitly, portais universitarios ### Kit de Phishing React 2025 - Destaque tecnico A evolução mais significativa documentada em 2025: - **Frontend**: React SPA com roteamento dinâmico - replica fidelmente Gmail, Outlook e Yahoo - **Live keylogger**: captura credenciais conforme digitadas (antes de submit) - **WebSocket em tempo real**: credenciais enviadas ao atacante instantaneamente - **MFA bypass**: replica prompts de 2FA do Google/Microsoft - o operador usa o código capturado em tempo real para autenticar na conta real - **Prefilled email**: paginas pre-preenchidas com o email do alvo - aumenta credibilidade - **Google Sites abuse**: convites Google Meet hospedados em sites.google.com - dominio legitimo, dificil de bloquear - **130+ dominios**: registrados majoritariamente via NameCheap, com overlap com infraestrutura GreenCharlie ### [[s1192-nicecurl|NICECURL]] e [[s1193-tamecat|TAMECAT]] (malware customizado) Para alvos selecionados, o grupo implanta dois backdoors customizados alem do phishing: - **NICECURL**: downloader de primeiro estagio com capacidades de execução de comandos - **TAMECAT**: implante mais completo para pos-comprometimento, deploy de malware adicional - Entregues via spearphishing - usados como "jumping point" para operações mais profundas ## Campanhas Notaveis ```mermaid graph TB C1["2015-2019 Operacoes iniciais Oriente Medio + EUA"] --> C2["2021-2022 HRW / Amnesty Int Jornalistas MENA"] C2 --> C3["2023 Gaza war lures Media e governo Israel"] --> C4["2024 Eleicoes EUA Trump + Biden campaigns"] C4 --> C5["Jun 2025 Educated Manticore Academicos + cyber Israel"] --> C6["2025-2026 Kit React WebSocket 130+ dominios phishing"] style C1 fill:#7f8c8d,color:#fff style C2 fill:#2980b9,color:#fff style C3 fill:#e67e22,color:#fff style C4 fill:#c0392b,color:#fff style C5 fill:#8e44ad,color:#fff style C6 fill:#e74c3c,color:#fff ``` | Campanha | Período | Alvos | Método | Destaque | |----------|---------|-------|--------|----------| | HRW/Amnesty Campaign | 2022 | Ativistas MENA, jornalistas | WhatsApp → phishing Google | 2FA bypass confirmado | | Gaza War Lures | Out 2023 | Media israelense, governo | Fake Google Meet invites | Arquivo "Segredos dos Tuneis de Gaza" | | US Election 2024 | 2024 | Trump campaign, Biden campaign | Spearphishing email | Google confirma comprometimento | | Educated Manticore | Jun 2025 | Jornalistas + cyber experts Israel | Email/WhatsApp → React phishing | Kit React com live keylogger | | GreenCharlie Campaign | 2025-2026 | ONGs, media, governo global | 130+ dominios phishing | Impersonation de Pentagon oficial | ## Técnicas de Ataque - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - vetor primario via email e WhatsApp - [[t1656-impersonation|T1656 - Impersonation]] - impersonacao de jornalistas, diplomaticos, cyber profissionais - [[t1556-006-multi-factor-authentication|T1556.006 - MFA Bypass]] - kit React captura e usa 2FA em tempo real - [[t1530-data-from-cloud-storage|T1530 - Data from Cloud Storage]] - acesso a Google Drive, OneDrive, email comprometidos - [[t1102-web-service|T1102 - Web Service]] - abuso de Google Sites, Dropbox, plataformas cloud para C2 - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] - criação de contas email fictícias para operações - [[t1070-008-clear-mailbox-data|T1070.008 - Clear Mailbox Data]] - deleta emails enviados de contas comprometidas ## Relevância para o Brasil e LATAM O APT42 opera com foco no Oriente Medio, Europa, EUA e diaspora irani - o Brasil nao e alvo direto documentado. Entretanto, tres cenários de risco sao relevantes: **Risco diplomatico:** - Diplomaticos brasileiros em missoes no Oriente Medio, Iran, Israel ou Arabia Saudita podem receber abordagens via WhatsApp impersonando pares diplomaticos - um dos vetores mais eficazes do grupo - O [[government|Itamaraty]] e funcionarios do Ministerio das Relacoes Exteriores com conexoes na regiao alvo sao potencialmente vulneraveis ao modelo de engenharia social prolongada do APT42 **Risco para jornalistas e pesquisadores:** - Jornalistas brasileiros cobrindo Oriente Medio, Iran, questao nuclear iraniana ou conflito Israel-Hamas podem ser alvejados - o grupo tem historico de atacar correspondentes de grandes outlets globais - Pesquisadores academicos brasileiros com colaboracoes com universidades americanas, israelenses ou europeias em estudos geopoliticos de interesse iraniano **Técnica replicavel - kit React phishing:** - O modelo de **phishing 2FA em tempo real via WebSocket** e replicavel por qualquer grupo criminoso com recursos tecnicos moderados - defenders brasileiros devem incorporar detecção deste padrao (conexão WebSocket em tempo real em paginas de login suspeitas) em suas ferramentas de análise **Mitigação principal:** Hardware security keys (FIDO2/YubiKey) sao a única defesa eficaz contra o kit phishing do APT42 - SMS e app-based 2FA sao contornados pelo kit React. ## Referências - [Mandiant - Untangling Iran APT42 Operations (Mai 2024)](https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations) - [Check Point - Educated Manticore Reemerges (Jun 2025)](https://blog.checkpoint.com/security/educated-manticore-reemerges-iranian-spear-phishing-campaign-targeting-high-profile-figures/) - [HRW/Amnesty International - APT42 Phishing (Dez 2022)](https://www.hrw.org/news/2022/12/05/iran-state-backed-hacking-activists-journalists-politicians) - [Security Affairs - APT42 Targets Israeli Journalists (Jun 2025)](https://securityaffairs.com/179372/apt/apt42-impersonates-cyber-professionals-to-phish-israeli-academics-and-journalists.html) - [MITRE ATT&CK - G1044](https://attack.mitre.org/groups/G1044/)