# TA571 > [!warning] Resumo Executivo > TA571 e um distribuidor de spam de alto volume especializado em entregar malware para clientes cibercriminosos. O grupo opera como **spam-as-a-service** - enviando campanhas massivas com variedade de payloads dependendo do operador contratante. Caracteristica técnica distintiva: uso de **404 TDS (Traffic Distribution System)** com múltiplos "gates" de filtragem por IP/geofencing para garantir que apenas alvos corretos recebam o payload. Infeccoes por TA571 levam com alta confiança a ransomware. Arsenal inclui variante Forked do [[s0483-icedid|IcedID]], [[darkgaté|DarkGaté]], [[netsupport-rat|NetSupport RAT]] e [[s1087-asyncrat|AsyncRAT]]. ## Visão Geral **TA571** e classificado pela Proofpoint como um **distribuidor de spam sofisticado** - um ator que envia campanhas de alto volume em nome de operadores de malware terceiros. Diferentemente de IABs tradicionais que desenvolvem ou operam seu proprio malware, TA571 fornece infraestrutura de distribuição como servico. O que torna TA571 notable: 1. **Sofisticacao do TDS**: O grupo usa o sistema 404 TDS com até **dois gates de filtragem** por campanha. Trafego que nao passa nos gates e redirecionado para sites benignos (como sites adultos), tornando análise dificil. 2. **Filtragem precisa**: IP geofencing + checks de sistema operacional garantem que apenas alvos específicos recebam o payload. Pesquisadores com IPs de segurança nao chegam ao malware. 3. **Variedade de payloads**: O grupo entrega qualquer malware que seu cliente atual requeira - [[s1087-asyncrat|AsyncRAT]], [[netsupport-rat|NetSupport RAT]], [[darkgaté|DarkGaté]], IcedID Forked - demonstrando modelo de negocio MaaS. 4. **Thread hijacking**: Assuntos das campanhas correspondem ao ator-alvo, incluindo respostas a threads reais (comprometidas ou sintetizadas). A variante **IcedID Forked** entregue em outubro 2023 e particularmente significativa: foi modificada para remover funcionalidade bancaria original, focando exclusivamente em entrega de payload subsequente - um indicador de transicao para ransomware como objetivo final. ## Diagrama de Kill Chain ```mermaid graph TB A["📧 High-Volume Spam<br/>Thread hijacking / lures<br/>T1566.001/002"] --> B["🔗 404 TDS Gaté 1<br/>Filtragem de IP<br/>Geofencing check"] B --> C["🔗 404 TDS Gaté 2<br/>Segunda camada de filtro<br/>Rejeita pesquisadores"] C --> D["📦 Password ZIP<br/>Password no email<br/>VBS/Excel macro T1204.002"] D --> E["💻 Payload Deploy<br/>IcedID / DarkGaté<br/>NetSupport via regsvr32"] E --> F["🔒 Ransomware Pipeline<br/>Acesso vendido para<br/>operadores downstream"] style A fill:#1a5276,color:#fff style B fill:#154360,color:#fff style C fill:#0e2d4a,color:#fff style D fill:#7b241c,color:#fff style E fill:#922b21,color:#fff style F fill:#6c3483,color:#fff ``` ## Timeline de Atividades ```mermaid timeline title TA571 - Atividades Documentadas Set 2022 : Primeiro uso documentado de 404 TDS : Distribuição de AsyncRAT e NetSupport 2023 : Campanhas DarkGaté : Distribuição de variante IcedID Forked : Continua com NetSupport RAT Out 2023 : Campanhas IcedID Forked (11 e 18 out) : Mais de 6000 mensagens por rodada : 1200+ organizacoes impactadas 2024 : Multiplos payloads ativos : 404 TDS continua como infraestrutura central : Ransomware como destino confirmado 2025 : Atividade continua observada : Modelo spam-as-a-service mantido ``` ## Técnica Caracteristica - 404 TDS com Multiplos Gates O sistema 404 TDS e o elemento tecnico mais distintivo do TA571: ``` Email com URL de 404 TDS | v [Gaté 1] - Verifica IP, OS, browser |-- IP de pesquisador/sandbox? -> Redirect para site benigno | v [Gaté 2] - Verificação adicional |-- Falhou? -> Redirect para site adulto | v ZIP protegido por senha |-- Senha fornecida no email | v VBS Script -> regsvr32 -> IcedID Forked Loader ``` O 404 TDS e **provavelmente vendido ou compartilhado** com outros atores - observado em múltiplas campanhas nao relacionadas, sugerindo servico compartilhado de infraestrutura no ecossistema eCrime. ## Arsenal | Malware | Categoria | Contexto | |---------|-----------|---------| | [[s0483-icedid\|IcedID Forked]] | Loader | Variante sem função bancaria - foco em payload delivery | | [[darkgaté\|DarkGaté]] | RAT multi-função | Campanhas 2023 via 404 TDS | | [[netsupport-rat\|NetSupport RAT]] | RAT / Acesso remoto | Usado para acesso inicial persistente | | [[s1087-asyncrat\|AsyncRAT]] | RAT | Campanhas mais antigas | | 404 TDS | Traffic Distribution | Infraestrutura central; possívelmente compartilhada | ## TTPs Detalhados ### Acesso Inicial - **Thread hijacking com anexos**: Emails aparecendo como respostas a conversas existentes, com documentos maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]) - **Links 404 TDS**: URLs levam a gaté system que filtra e entrega payload condicionalmente ([[t1566-002-spearphishing-link|T1566.002]]) - **Comprometimento de contas de email**: Uso de contas legitimas para envio (aumenta taxa de entrega) ([[t1586-002-email-accounts|T1586.002]]) ### Execução - **VBS Scripts**: Script VBS no ZIP executa IcedID Forked loader via regsvr32 ([[t1059-005-visual-basic|T1059.005]]) - **Macros Office**: Excel 4.0 (XLM) macros para evasão de detecção ([[t1204-002-malicious-file|T1204.002]]) - **regsvr32**: Proxy execution para carregar DLL maliciosa ([[t1218-010-regsvr32|T1218.010]]) ### Evasão - **Password-protected ZIP**: Conteudo encriptado impede análise de anexo por AV/EDR ([[t1027-obfuscated-files|T1027]]) - **404 TDS geofencing**: Nao entrega payload para IPs de pesquisadores ou fora da regiao alvo - **Multiplos gates**: Ate dois levels de filtragem reduzem análise por sandboxes automaticas - **IcedID Forked sem banking**: Remove funções óbvias de banking trojan para evasão baseada em assinatura ## Relevância para o Brasil e LATAM TA571 representa ameaça **indireta mas sistematica** para o Brasil: 1. **Alta escala**: Campanhas com 6.000+ mensagens por rodada atingem alvos globalmente incluindo dominios .br 2. **Pipeline para ransomware**: Proofpoint avalia com alta confiança que infeccoes TA571 levam a ransomware - todo setor corporativo brasileiro esta em risco 3. **Variante IcedID sem banking**: Indica foco em acesso inicial para BGH (big game hunting) - empresas brasileiras de medio e grande porte sao alvos 4. **Modelo MaaS**: Como distribuidor de servico, pode operar campanhas direcionadas a LATAM para qualquer operador que contraté o servico ## Detecção | Indicador / Comportamento | Técnica | |---------------------------|---------| | URL 404 TDS no email (dominio comprometido com path /qd ou similar) | T1566.002 | | ZIP protegido por senha com VBS script interno | T1027 | | regsvr32 carregando DLL de %TEMP% ou path incomum | T1218.010 | | Conexão C2 IcedID Forked Loader (porta 443, UA incomum) | T1071.001 | | Excel abrindo URL externa sem interação do usuario | T1204.002 | | Redirect para site adulto após acesso a URL de campanha | Infraestrutura 404 TDS | ## Referências - [1](https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta571-delivers-icedid-forked-loader) Proofpoint - TA571 Entrega IcedID Forked Loader (2023) - [2](https://malpedia.caad.fkie.fraunhofer.de/actor/ta571) Malpedia - TA571 Threat Actor Profile - [3](https://cybersecuritynews.com/icedid-malware-via-zip-archive/) CyberSecurityNews - TA571 IcedID via ZIP Archive (2023) - [4](https://content.spamhaus.org/161b1bd7-ef0d-45cd-a179-f7ba4d9f61dc.pdf) Spamhaus - Botnet Threat Updaté: Operation Endgame (2025)