imperial-kitten - RunkIntel

# Imperial Kitten > [!warning] IRGC - Espionagem Maritima e Suporte a Operações Cineticas > Imperial Kitten e o grupo iraniano que conecta ciberespionagem com ataques fisicos: inteligência coletada em plataformas de rastreamento de navios foi correlacionada com ataques de misseis Houthi no Mar Vermelho em 2024. Um caso raro de operação ciber-cinetica documentada públicamente. ## Visão Geral Imperial Kitten (Tortoiseshell / TA456 / Crimson Sandstorm) e um grupo de ameaça persistente avancado iraniano vinculado ao IRGC, ativo desde pelo menos 2017. Especializado em espionagem contra setores de defesa, aeroespacial, maritimo e logistica, o grupo combina **watering hole attacks**, phishing com temas de recrutamento e implantes customizados com C2 via email (IMAP). O caso mais notavel e de **fevereiro de 2024**: Amazon Threat Intelligence correlacionou buscas de dados AIS (rastreamento de navios) por Imperial Kitten com um ataque subsequente de misseis Houthi contra o mesmo navio no Mar Vermelho - evidência de cooperação entre o grupo e proxies iranianos para operações cineticas. **Malware distintivo:** IMAPLoader e StandardKeyboard utilizam o protocolo IMAP de email para comando e controle - uma técnica incomum que dificulta detecção por monitoramento de rede tradicional. Em 2024, passou a usar infraestrutura Azure Cloud (via LIGHTRAIL) para C2, alinhado com tendencias de outros grupos iranianos. ## Campanhas Notaveis | Período | Campanha | Alvo | Método | |---------|----------|------|--------| | 2021 | Operation Marcella | Contratante de defesa | Engenharia social 2 anos - LEMPO | | 2022-2023 | Maritime Watering Holes | Maritimo / shipping Mediterraneo | JS malicioso + IMAPLoader | | 2023 | Israel Tech & Logistics | Transporte, logistica, TI Israel | Phishing recrutamento + Excel malicioso | | 2024 | AIS Intelligence Collection | Plataformas rastreamento navios | Comprometimento AIS + CCTV naval | | 2024 | Defense Aerospace UNC1549 | Defesa e aeroespacial global | MINIBIKE + MINIBUS via Azure C2 | ## Arsenal - Cadeia de Ataque ```mermaid graph TB A["Reconhecimento Watering hole / LinkedIn OSINT setorial"] --> B["Acesso Inicial Drive-by Compromise T1189 ou Email recrutamento falso"] B --> C["Implantação IMAPLoader via Excel XLL ou JS malicioso em sites comprometidos"] C --> D["C2 via Email IMAP T1071.003 Mail Protocols Comandos por email - stealth alto"] D --> E["Movimento Lateral PsExec / PAExec NetScan + MeshAgent"] E --> F["Coleta e Exfiltração Credenciais / documentos Dados AIS / inteligencia cinetica"] classDef recon fill:#34495e,color:#fff,stroke:#2c3e50 classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef implant fill:#e67e22,color:#fff,stroke:#d35400 classDef c2 fill:#8e44ad,color:#fff,stroke:#6c3483 classDef lateral fill:#2980b9,color:#fff,stroke:#1a5276 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A recon class B access class C implant class D c2 class E lateral class F exfil ``` ## Timeline de Atividade ```mermaid timeline title Imperial Kitten - Linha do Tempo 2017 : Primeiras atividades documentadas : Foco em IT service providers ME 2021 : Operação Marcella : 2 anos de engenharia social contra contratante defesa 2022 : Watering holes maritimos : Espionagem shipping Mediterraneo 2023 : Ataques Israel : Transporte, logistica, tecnologia 2024 Feb : Correlação cinetica no Mar Vermelho : Dados AIS -> ataque misseis Houthi 2024 : UNC1549 / MINIBIKE : Defesa aeroespacial + Azure C2 2025 : Atividade continuada : Expansao regional de targets ``` ## Técnicas Utilizadas - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1071-003-mail-protocols|T1071.003 - Application Layer Protocol: Mail Protocols]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - DLL Injection]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] ## Software Utilizado - [[s1152-imaploader|IMAPLoader]] - Malware .NET com C2 via IMAP, fingerprinting de sistema e entrega de payloads adicionais - [[standardkeyboard|StandardKeyboard]] - Malware .NET com C2 via email, executa comandos Base64 - [[minibike|MINIBIKE]] - Backdoor C++ para coleta de inteligência (campanha 2024) - [[minibus|MINIBUS]] - Backdoor evoluido com capacidades de reconhecimento aprimoradas - [[lightrail|LIGHTRAIL]] - Tool de tunneling via Azure Cloud para C2 - [[lempo|LEMPO]] - Malware de exfiltração (campanha Marcella 2021) - [[meshagent|MeshAgent]] - RMM legítimo usado para exfiltração de dados - [[psexec|PsExec]] - Movimento lateral ## Relacao com Outros Grupos Iranianos Imperial Kitten compartilha targeting maritimo com [[g0117-fox-kitten|Fox Kitten]] mas difere métodológicamente. Sobreposicao de infraestrutura reportada com Smoke Sandstorm. A campanha UNC1549 de 2024 (Mandiant) sugere possível overlap com outros clusters IRGC. ## Relevância para o Brasil e LATAM O setor **maritimo e portuario brasileiro** - portos de Santos, Paranagua, Itaqui, Suape - representa superficie de ataque diretamente compativel com o historico de Imperial Kitten. O interesse em rastreamento AIS e operações de shipping e aplicavel a: - **Ports Authority / ANTAQ** - dados operacionais de embarcacoes - **Petrobras** - frota de navios FPSO e tanqueiros no pre-sal - **Empresas de logistica** - operadores de carga e agentes maritimos - **Fornecedores de defesa naval** - projetos de fragatas e submarinos (PROSUB) O modelo de watering hole em sites setoriais e lures de recrutamento falso já foi adaptado para contextos regionais por outros grupos iranianos, sugerindo capacidade de replicacao para LATAM. > **Alerta maritimo:** Organizacoes com acesso a sistemas AIS ou plataformas de gestao de embarcacoes devem monitorar trafego IMAP anomalo e presenca de plugins XLL nao autorizados no Microsoft Excel. ## Detecção e Defesa **Indicadores comportamentais:** - Trafego IMAP de sistemas corporativos para contas externas nao autorizadas (C2 via email) - Plugins XLL (.xll) carregados em Excel de fontes externas - JavaScript malicioso em sites legitimos de setores maritimo/logistica - MeshAgent ou PAExec instalados sem justificativa operacional - Buscas repetidas em sistemas AIS de embarcacoes específicas **Mitigacoes prioritarias:** - [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] - Bloqueio de XLL e macros Office - [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] - Detecção C2 via IMAP anomalo - [[m1017-user-training|M1017 - User Training]] - Lures de recrutamento em setores maritimo e defesa ## Referências - [1](https://www.imda.gov.sg/-/media/imda/files/regulations-and-licensing/regulations/advisories/infocomm-media-cyber-security/imperial-kitten-advisory.pdf) IMDA Advisory - Imperial Kitten Novel Malware Families (2023) - [2](https://www.csoonline.com/article/4093375/iranian-apt-hacks-helped-direct-missile-strikes-in-israel-and-the-red-sea.html) CSO Online - Iranian APT Hacks Correlated with Missile Strikes (2024) - [3](https://www.ttbinternetsecurity.com/news/hackers-with-ties-to-iran-target-middle-east-defense-aerospace-sectors) TT&B - Imperial Kitten UNC1549 Defense Aerospace 2024 (2024) - [4](https://www.huntress.com/threat-library/threat-actors/imperial-kitten) Huntress - Imperial Kitten Threat Profile (2024) - [5](https://www.bankinfosecurity.com/iranian-hackers-target-israeli-logistics-companies-a-23562) Bank Info Security - Imperial Kitten Israeli Logistics (2024) - [6](https://www.picussecurity.com/resource/iranian-threat-actors-what-defenders-need-to-know) Picus Security - Iranian Threat Actors (2026)