gorgon-group - RunkIntel

# Gorgon Group > [!warning] Grupo Paquistanês - Dupla Operação: Espionagem e Cibercrime na Mesma Infraestrutura > O Gorgon Group é um grupo de ameaça paquistanês que faz algo incomum: usa a **mesma infraestrutura C2** para conduzir campanhas de espionagem contra governos (EUA, Reino Unido, Espanha, Rússia) e campanhas de cibercrime massivo contra alvos corporativos globais — simultaneamente. Documentado pela Unit 42 da Palo Alto em 2018, o grupo inclui pelo menos 5 membros, com um operador-chave identificado como "Subaat". ## Visão Geral O **Gorgon Group** (G0078) foi exposto pela Unit 42 da Palo Alto Networks em agosto de 2018, após rastreamento do operador "Subaat" desde 2017. A característica mais singular do grupo é a **operação simultânea de ataques direcionados contra governos e campanhas criminosas contra alvos corporativos**, usando a mesma infraestrutura de C2. Isso é incomum na comunidade de ameaças — a maioria dos grupos se especializa em uma das duas modalidades. A pesquisa da Unit 42 identificou que membros do grupo possuem conexão com o Paquistão. Um dos membros, "fudpages", operava inclusive um pequeno marketplace vendendo hosting blindado, sessões RDP, documentos falsos e outros serviços maliciosos — revelando a dimensão comercial do grupo. Operacionalmente, o Gorgon Group não é sofisticado. O grupo usa **RATs de mercado amplamente disponíveis** ([[s0336-nanocore|NanoCore]], [[s0262-quasarrat|QuasarRAT]], [[s0385-njrat|njRAT]], [[s0332-remcos|Remcos]]) e técnicas de entrega relativamente simples — spearphishing com documentos Word. No entanto, sua **efetividade é demonstrável**: comprometimentos bem-sucedidos de organizações governamentais em múltiplos países com ferramentas acessíveis. Em 2018, o grupo explorou o **CVE-2017-0199** (execução de código remoto via OLE em RTF/Word) em campanhas direcionadas. As iscas para ataques a governos eram altamente temáticas: assuntos militares e políticos paquistaneses, relações Paquistão-Rússia, grupos terroristas na região. Os emails provinham de contas Gmail se passando por figuras militares paquistanesas. Possível conexão com **Transparent Tribe** (APT36), outro grupo paquistanês, foi especulada pela comunidade, mas não confirmada públicamente. ## Attack Flow - Dupla Operação ```mermaid graph TB A["Infraestrutura Compartilhada Mesmo domínio C2 para crime e espionagem"] --> B["Campanha Espionagem T1566.001 Spearphishing CVE-2017-0199 RTF governo"] A --> C["Campanha Criminosa Malspam em massa SWIFT purchase orders"] B --> D["Payload Governo NanoCore RAT via processo injection"] C --> E["Payload Criminal njRAT LokiBot Remcos RevengeRAT"] D --> F["Espionagem Governo T1055.012 PE Injection T1564.003 Hidden Window"] E --> G["Roubo de Dados Credenciais bancárias Informações corporativas"] style A fill:#7f8c8d,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#1a5276,color:#fff style E fill:#8e44ad,color:#fff style F fill:#196f3d,color:#fff style G fill:#196f3d,color:#fff ``` ## Arsenal Técnico | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[s0336-nanocore\|NanoCore]] | RAT público | Backdoor completo - keylogging, webcam, área de transferência, shells remotas | | [[s0262-quasarrat\|QuasarRAT]] | RAT open source | Acesso remoto leve para espionagem persistente | | [[s0385-njrat\|njRAT]] | RAT público | RAT minimalista amplamente usado em campanhas criminosas MENA | | [[s0332-remcos\|Remcos]] | RAT comercial | Acesso remoto comercial com funcionalidades avançadas de RAT | | CVE-2017-0199 | Exploit | RCE via OLE em RTF/Word — vector de ataques direcionados a governo 2018 | | LokiBot | Infostealer | Roubo de credenciais em campanhas criminosas | ## Técnica de Evasão - Process Injection ```mermaid graph TB A["Documento Word malicioso CVE-2017-0199 ou macro VBS Enviado por spearphishing"] --> B["Macro / Shellcode executa T1059.005 VBA / T1140 Decode Payload decodificado em memória"] B --> C["Process Hollowing T1055.012 Hollow process Injeção em processo legítimo"] C --> D["NanoCore em memória Windows Defender desabilitado T1562.001 Impair defenses"] D --> E["Registry Run Key T1547.001 Autostart Persistência garantida"] style A fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#196f3d,color:#fff ``` ## Timeline ```mermaid timeline title Gorgon Group - Cronologia 2017 : Subaat identificado pela Unit 42 : Phishing contra organização governo EUA - QuasarRAT 2018-02 : Campanhas direcionadas a governo : UK Espanha Rússia EUA - CVE-2017-0199 2018-04/05 : Operação mista simultânea : Mesma infraestrutura - espionagem + malspam 2018-08 : Unit 42 publica descoberta : Gorgon Group nomeado publicamente 2020 : Seqrite documenta campanhas na Índia : Setor MSME e manufatura como alvos ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos RTF/Word com CVE-2017-0199 ou macros VBA | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Documentos Office com iscas temáticas militares/políticas | | Visual Basic | [[t1059-005-visual-basic\|T1059.005]] | Macros VBA em documentos Office | | PE Injection | [[t1055-002-portable-executable-injection\|T1055.002]] | Injeção de payload em processos legítimos | | Process Hollowing | [[t1055-012-process-hollowing\|T1055.012]] | Substituição de conteúdo de processo legítimo | | Hidden Window | [[t1564-003-hidden-window\|T1564.003]] | `-W Hidden` no PowerShell para evasão visual | | Disable or Modify Tools | [[t1562-001-impair-defenses-disable-or-modify-tools\|T1562.001]] | Desabilita Windows Defender e segurança do Office via registry | | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência pós-infecção | | Modify Registry | [[t1112-modify-registry\|T1112]] | Modificação de chaves Office para desabilitar segurança | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de RATs adicionais de C2 | ## Relevância para o Brasil e LATAM > [!latam] RATs de Mercado - Ameaça Transversal ao Brasil > O Gorgon Group usa os mesmos RATs ([[s0385-njrat|njRAT]], [[s0336-nanocore|NanoCore]], [[s0332-remcos|Remcos]]) que são extremamente comuns em campanhas criminosas no Brasil. O modelo operacional do grupo - simplicidade técnica combinada com engenharia social eficaz - é facilmente replicável por operadores criminosos brasileiros. Aspectos de risco para o Brasil: - **Toolkit de mercado**: njRAT, NanoCore e Remcos são ferramentas popularmente usadas em golpes de suporte falso, RAT-as-a-service e campanhas de roubo de credenciais bancárias no Brasil - **Modelo duplo crime/espionagem**: O padrão Gorgon de usar infraestrutura compartilhada para crime e espionagem é observável em grupos brasileiros que realizam tanto fraude financeira quanto espionagem industrial - **CVE-2017-0199**: Ambientes brasileiros sem patch (comum em PMEs) ainda são vulneráveis a este exploit em documentos Office - **Malspam SWIFT**: Campanhas do Gorgon usando iscas de "purchase orders" e "SWIFT payments" são diretamente aplicáveis a ambientes corporativos brasileiros com relacionamentos de comércio exterior ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | WINWORD.EXE spawning PowerShell com `-W Hidden` | EDR: alertas para processos Office criando PowerShell com parâmetros de ocultação | | Process hollowing detectado (conteúdo de processo não corresponde ao executável) | EDR: proteção de integridade de processos (ex: Windows Defender Credential Guard) | | Registry key desabilitando Windows Defender por processo Office | SIEM: alertas para modificação de chaves HKLM/HKCU Defender por processo suspeito | | NanoCore/njRAT: comunicação C2 via TCP não padrão para IP externo | NDR: alertas para conexões de portas não padrão de processos suspeitos | | Taskkill enviado para processos de segurança (Defender, antivírus) | EDR: alertas para taskkill com lista de processos de segurança | ## Referências - [1](https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/) Unit 42 - Gorgon Group: Slithering Between Nation State and Cybercrime (2018) - [2](https://attack.mitre.org/groups/G0078/) MITRE ATT&CK - Gorgon Group G0078 - [3](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Gorgon+Group&n=1) ETDA Thailand - Gorgon Group Threat Card - [4](https://www.seqrite.com/blog/gorgon-apt-targeting-msme-sector-in-india/) Seqrite - Gorgon APT Targeting MSME Sector in India (2020) - [5](https://www.scworld.com/news/worst-of-both-words-gorgon-hackers-practice-both-general-cybercrime-and-targeted-government-attacks) SC World - Gorgon Hackers Practice Both Cybercrime and Government Attacks (2018) **Grupos relacionados:** [[transparent-tribe|Transparent Tribe]] (possível conexão - outro grupo paquistanês) · [[g0134-transparent-tribe|APT36]] **Malware utilizado:** [[s0336-nanocore|NanoCore]] · [[s0385-njrat|njRAT]] · [[s0262-quasarrat|QuasarRAT]] · [[s0332-remcos|Remcos]] **Setores alvejados:** [[government|Governo]] · [[manufacturing|Manufatura]] · [[financial|Financeiro]]