unc3890 - RunkIntel

# UNC3890 > [!high] > Grupo de espionagem com nexo no Irã, ativo entre 2020 e 2022, com foco exclusivo em organizações israelenses nos setores de transporte marítimo, governo, energia e saúde. Utiliza engenharia social sofisticada - incluindo falsas ofertas de emprego e comerciais de bonecas de IA - como vetor inicial. ## Visão Geral **UNC3890** é um cluster de ameaça rastreado pela Mandiant com atribuição ao nexo iraniano, ativo no período de 2020 a 2022. O grupo conduz operações de espionagem altamente direcionadas contra organizações israelenses, com foco particular no setor de transporte marítimo - um alvo estratégico para inteligência iraniana, dado o contexto geopolítico de conflito naval regional. O grupo se distingue pela sofisticação das técnicas de engenharia social utilizadas como vetor inicial: além de spear-phishing tradicional, o UNC3890 criou falsas páginas de oferta de emprego e até um comercial fictício de "bonecas de IA" (AI doll commercial) para atrair vítimas a páginas de coleta de credenciais. Esta abordagem criativa demonstra investimento significativo em operações de engenharia social. Artefatos de linguagem Farsi em amostras de malware e sobreposições de infraestrutura com o [[unc2448|UNC2448]] - grupo vinculado ao IRGC (Corpo da Guarda Revolucionária Islâmica) - sugerem conexão com o aparato de inteligência iraniano. O grupo utiliza duas ferramentas principais: o backdoor **[[s1049-sugarush|SUGARUSH]]** para acesso persistente e o infostealer **[[s1042-sugardump|SUGARDUMP]]** para exfiltração de credenciais de navegadores. ## Attack Flow e Técnicas Observadas ```mermaid graph TB A["🎭 Engenharia Social Falsas ofertas de emprego Comercial de bonecas de IA"] --> B["💧 Watering Hole Site de login israelense empresa de shipping"] A --> C["📧 Spear-phishing Links para páginas falsas Coleta de credenciais"] B --> D["🔑 Acesso Inicial Credenciais comprometidas Login legítimo"] C --> D D --> E["🐛 SUGARUSH Backdoor Persistência na rede Canal C2 via IMAP"] E --> F["💰 SUGARDUMP Infostealer Chrome/Firefox/Edge Gmail/Yahoo/Yandex"] F --> G["📤 Exfiltração NorthStar C2 Credenciais exfiltradas"] classDef social fill:#2d1b4e,color:#c4b5fd,stroke:#7c3aed classDef access fill:#1a1a2e,color:#a5b4fc,stroke:#6366f1 classDef implant fill:#1c4a7b,color:#bfdbfe,stroke:#3b82f6 classDef exfil fill:#4f3d0d,color:#fde68a,stroke:#f59e0b class A,B,C social class D access class E,F implant class G exfil ``` | Técnica | ID | Uso | |---------|-----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Emails com links maliciosos | | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Watering hole em site de shipping israelense | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de credenciais | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via NorthStar | ## Arsenal de Malware ```mermaid graph TB A["NorthStar C2 Framework de comando e controle customizado"] --> B["SUGARUSH Backdoor persistente Canal C2 via IMAP"] A --> C["SUGARDUMP Browser credential stealer Gmail/Yahoo/Yandex"] D["Metasploit Framework ofensivo Pós-exploração"] --> A E["Únicorn Tool PowerShell downgrade Shellcode injection"] --> D classDef c2 fill:#0d3b4f,color:#7dd3fc,stroke:#0ea5e9 classDef mal fill:#4f0d1a,color:#fca5a5,stroke:#ef4444 classDef tool fill:#1a3a1a,color:#86efac,stroke:#22c55e class A c2 class B,C mal class D,E tool ``` - **[[s1049-sugarush|SUGARUSH]]** - backdoor que executa comandos shell via canal C2 usando protocolo IMAP (email como vetor encoberto) - **[[s1042-sugardump|SUGARDUMP]]** - infostealer focado em credenciais de navegadores; exfiltra para endereços Gmail, Yahoo e Yandex associados ao cluster - **NorthStar C2** - framework de comando e controle customizado para gerenciar implants - **Únicorn** - ferramenta de PowerShell downgrade attack para injeção de shellcode ## Contexto Geopolítico O foco exclusivo em alvos israelenses, combinado com artefatos em Farsi e sobreposições com o [[unc2448|UNC2448]] (grupo IRGC), posiciona o UNC3890 dentro do ecossistema de espionagem cibernética iraniana direcionada ao conflito com Israel. O setor de [[transportation|transporte marítimo]] israelense é de especial interesse estratégico para o Irã dado o contexto de tensões navais no Golfo e no Mar Vermelho, onde navios com nexo israelense foram alvo de operações cinéticas e de inteligência iranianas entre 2020-2022. ## Relevância para o Brasil e LATAM > [!latam] > UNC3890 tem foco exclusivo em alvos israelenses e não representa ameaça direta para o Brasil ou LATAM no momento. A relevância é analítica: o padrão de engenharia social criativa (falsas vagas de emprego, watering holes setoriais) é um modelo que grupos com nexo iraniano podem replicar em outros contextos geográficos. Organizações brasileiras com vínculos comerciais ou parcerias com empresas israelenses nos setores de [[energy|energia]], transporte e [[technology|tecnologia]] devem estar cientes do perfil de ataque do UNC3890 como vetor de terceiros. ## Referências - [1](https://www.mandiant.com/resources/blog/unc3890-targets-israel) Mandiant - UNC3890 Targets Israel Shipping, Healthcare and Government (2022) - [2](https://attack.mitre.org/groups/G1031/) MITRE ATT&CK - UNC3890 (G1031) - [3](https://www.clearskysec.com/wp-content/uploads/2022/08/Lebanese-Cedar-Targeting-Organizations.pdf) ClearSky - Iranian Nexus APT Targeting Israeli Organizations (2022)