# TA2726 > [!warning] Ator de Infraestrutura Criminal > TA2726 é um operador de Traffic Distribution Service (TDS) financeiramente motivado rastreado pela Proofpoint desde setembro de 2022. Atua como intermediário de infraestrutura, distribuindo tráfego malicioso para outros agentes de ameaça como TA569 e TA2727, facilitando campanhas de entrega de infostealer em escala global. ## Visão Geral TA2726 é um ator criminoso especializado em operar um serviço de distribuição de tráfego (TDS - Traffic Distribution System), uma infraestrutura que age como intermediário entre visitantes de sites comprometidos e payloads maliciosos finais. A Proofpoint nomeou este cluster de atividade em setembro de 2022 após identificar sua função central no ecossistema de distribuição de malware da web. Ao contrário de grupos que executam campanhas próprias de phishing, o modelo de negócio de TA2726 é B2B criminal: aluga ou vende acesso a seu TDS para outros operadores, incluindo [[ta569]] (SocGholish) e TA2727, que por sua vez entregam infostealers como [[lumma-stealer]], DeerStealer e [[frigidstalker]] às vítimas finais. O grupo utiliza a plataforma de TDS Keitaro — uma ferramenta legítima de rastreamento de marketing abusada pelo ecossistema criminoso — para filtrar visitantes e redirecionar apenas os alvos desejados. Isso permite que clientes de TA2726 alcancem usuários específicos por geolocalização, sistema operacional, navegador ou outros critérios, aumentando a taxa de conversão de infecções. O impacto de TA2726 é amplificado pelo fato de que as campanhas que alimenta, como [[clearfake-campaign]], afetam usuários que visitam sites legítimos comprometidos. Usuários brasileiros e latino-americanos são vetores frequentes dessas campanhas, dado o alto volume de tráfego web regional que transita por infraestrutura comprometida de terceiros. ## Como Funciona o Modelo TDS O ciclo de operação de TA2726 segue uma cadeia de distribuição em camadas: ```mermaid graph TB A["🌐 Usuário Visita<br/>Site Legítimo Comprometido"] --> B["🔀 Redirecionamento via<br/>TA2726 TDS (Keitaro)"] B --> C{"Filtragem por:<br/>Geo, OS, Browser"} C -->|"Alvo válido"| D["TA569 / SocGholish<br/>Falsa Atualização de Browser"] C -->|"Alvo válido"| E["TA2727<br/>ClearFake / FrigidStealer"] C -->|"Não é alvo"| F["Redirecionamento benigno<br/>ou página normal"] D --> G["💀 Payload Final:<br/>Lumma / DeerStealer"] E --> G ``` **Legenda:** [[ta569]] · [[clearfake-campaign]] · [[lumma-stealer]] ### Infraestrutura TA2726 opera principalmente através da plataforma **Keitaro TDS**, uma solução comercial de rastreamento de campanhas de marketing que permite filtrar e redirecionar visitantes com base em parâmetros granulares. Embora legítima em contextos normais, o Keitaro é amplamente abusado por operadores criminosos por sua flexibilidade e documentação robusta. O TDS de TA2726 recebe tráfego de sites legítimos previamente comprometidos por outros atores — websites de notícias, portfólios, pequenas empresas — e age como uma camada de filtragem antes de enviar vítimas qualificadas para operadores de malware contratantes. ## TTPs Mapeados ao MITRE ATT&CK | Técnica | ID | Uso | |---------|-----|-----| | Acquire Infrastructure | [[t1583-acquire-infrastructure\|T1583]] | Aquisição de servidores TDS e domínios de redirecionamento | | Stage Capabilities | [[t1608-stage-capabilities\|T1608]] | Configuração da infraestrutura Keitaro | | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Distribuição de tráfego via sites comprometidos | | Phishing | [[t1566-phishing\|T1566]] | Campanhas de entrega via fake browser updates | | Obfuscate Infrastructure | [[t1665-hide-infrastructure\|T1665]] | Múltiplas camadas de redirecionamento para dificultar atribuição | ## Relações com Outros Atores TA2726 não opera sozinho — é um nó central em um ecossistema criminoso interdependente: ```mermaid graph TB TA2726["🔀 TA2726<br/>TDS Operator"] --> TA569["TA569<br/>SocGholish"] TA2726 --> TA2727["TA2727<br/>ClearFake / Malvertising"] TA569 --> LM["Lumma Stealer<br/>DeerStealer"] TA2727 --> FR["FrigidStealer<br/>Marcher (Android)"] TA2726 -.->|"Infraestrutura TDS"| KEITARO["Keitaro TDS<br/>Plataforma"] ``` **Legenda:** [[ta569]] · [[lumma-stealer]] · [[clearfake-campaign]] - **[[ta569]]**: Operador do SocGholish, um dos principais clientes de TA2726 para distribuição de malware via falsas atualizações de browser - **TA2727**: Operador das campanhas ClearFake e distribuidor de [[frigidstalker]] e Marcher para Android - Ambos os grupos se beneficiam da filtragem de tráfego de TA2726 para aumentar a precisão e eficiência de suas campanhas ## Malware Associado | Software | Tipo | Alvo | |----------|------|------| | [[lumma-stealer\|Lumma Stealer]] | Infostealer | Credenciais, carteiras crypto | | DeerStealer | Infostealer | Credenciais de browser | | [[frigidstalker\|FrigidStealer]] | macOS infostealer | Sistemas macOS | | Marcher | Android RAT | Dispositivos Android | ## Relevância para o Brasil e LATAM > [!latam] Impacto Regional > Campanhas de SocGholish (TA569) e ClearFake (TA2727), alimentadas pela infraestrutura de TA2726, afetam usuários brasileiros regularmente. Sites de notícias, portais de pequenas empresas e portfólios pessoais no Brasil e em toda a América Latina são frequentemente comprometidos como plataformas de distribuição de tráfego. Usuários que visitam esses sites e recebem falsas notificações de "atualizar seu navegador" são o alvo principal. O modelo de TDS de TA2726 é especialmente eficaz em países com alto volume de tráfego web em infraestrutura de hospedagem compartilhada ou mal protegida, condição prevalente em muitas regiões do Brasil e LATAM. ## Detecção e Defesa ### Indicadores de Compromisso Atividade TDS típica de TA2726/Keitaro apresenta os seguintes padrões detectáveis: - Redirecionamentos HTTP em cadeia para domínios recém-registrados - User-agent filtering — a página maliciosa pode não carregar em ambientes de análise - Scripts JS injetados em páginas legítimas que verificam parâmetros antes de redirecionar - Domínios com padrão `cdn-[palavra]-[número].[tld]` ou typosquatting de CDNs legítimas ### Mitigações Recomendadas - **Filtragem DNS**: Bloquear domínios associados a Keitaro TDS e redirect chains - **Monitoramento de integridade de scripts**: Usar [[m1021-restrict-web-based-content|M1021]] para controlar scripts de terceiros - **EDR com comportamento**: Detectar padrões de redirect em browsers via [[t1189-drive-by-compromise|T1189]] - **Conscientização do usuário**: Treinar para não aceitar falsas atualizações de browser - **Web Application Firewall**: Proteger sites próprios contra compromisso e injeção de redirects ## Referências - [Proofpoint — TA2726 TDS Operator Activity (2022)](https://www.proofpoint.com/us/blog/threat-insight) - [SEKOIA — ClearFake Campaign Analysis](https://blog.sekoia.io/) - [Proofpoint — Around the World in 90 Days: ClickFix](https://www.proofpoint.com/us/blog/threat-insight/around-world-90-days-state-sponsored-actors-try-clickfix) - [[clearfake-campaign]] — Campanha ClearFake associada a TA2727/TA2726 - [[ta569]] — Operador SocGholish, cliente de TA2726 - [[lumma-stealer]] — Principal infostealer distribuído via infraestrutura TA2726