unc6353 - RunkIntel

# UNC6353 > [!danger] UNC6353 - Espionagem Suspeita Russa via Watering Holes na Ucrânia > **UNC6353** é um ator de ameaça com suspeita de vinculação à Rússia, identificado pelo Google GTIG (Threat Intelligence Group) em março de 2026. O grupo explorou a cadeia de exploits **DarkSword** - que encadeia 6 CVEs iOS - para comprometer visitantes de sites ucranianos via **watering holes**, implantando o implante [[ghostblade|GHOSTBLADE]] para espionagem persistente. A sofisticação técnica da cadeia DarkSword, especialmente os exploits zero-day iOS, indica um ator estatal com recursos avançados. ## Visão Geral **UNC6353** foi identificado em dezembro de 2025 quando o Google GTIG detectou modificações maliciosas em sites legítimos ucranianos - a clássica técnica de **watering hole** (aguardar que a vítima de interesse visite um site comprometido, em vez de atacar diretamente). O grupo injetou a cadeia de exploits **DarkSword** nestes sites, visando dispositivos iOS de visitantes de perfil específico. A cadeia **DarkSword** é particularmente sofisticada: encadeia **6 vulnerabilidades CVE** em iOS para obter execução remota e persistência sem interação do usuário além de visitar o site. Esta capacidade técnica - desenvolver ou adquirir uma cadeia de 6 zero-days iOS - é cara e geralmente restrita a atores estatais ou grupos com orçamento de inteligência nacional. **Características operacionais:** - **Watering holes em ucraniano**: sites comprometidos foram selecionados por audiência - visitantes prováveis incluem funcionários do governo ucraniano, forças armadas, jornalistas e ativistas - **Foco em iOS**: a cadeia DarkSword visa exclusivamente dispositivos Apple iOS - perfil de targets de inteligência (não criminalidade financeira, que prefere Android) - **Implante GHOSTBLADE**: após a cadeia de exploits, instala o [[ghostblade|GHOSTBLADE]] para persistência e exfiltração de dados do dispositivo - **Infraestrutura discreta**: entrega via `static.cdncounter[.]net`, exfiltração via `sqwas.shapelie[.]com` - domínios projetados para parecer CDNs legítimas - **Período operacional**: dezembro 2025 a março 2026 quando o Google GTIG detectou e reportou **Contexto geopolítico**: a campanha ocorre durante conflito ativo na Ucrânia, tornando o espionagem de dispositivos iOS de funcionários ucranianos operacionalmente relevante para coleta de inteligência militar e diplomática. ```mermaid graph TB A["Watering Hole Sites ucranianos comprometidos T1189 - Drive-by"] --> B["DarkSword Exploit Chain 6 CVEs iOS encadeados T1203 - Exploitacao cliente"] B --> C["Persistência Imediata Sem interação do usuario T1036 - Mascaramento"] C --> D["Instalacao GHOSTBLADE Implante iOS persistente T1105 - Ingress transfer"] D --> E["Exfiltração de Dados Keylogging + files T1041 - C2 channel"] E --> F["C2 via CDN falso sqwas.shapelie.com T1027 - Ofuscacao"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#922b21,color:#fff style D fill:#7b241c,color:#fff style E fill:#196f3d,color:#fff style F fill:#6c3483,color:#fff ``` ## Campanhas Documentadas ### DarkSword Ukraine Watering Holes - Dezembro 2025 a Março 2026 Campanha principal identificada pelo Google GTIG e reportada em março de 2026: **Como funcionou:** 1. O grupo comprometeu websites legítimos voltados à audiência ucraniana 2. Injetou código JavaScript malicioso que detectava o sistema operacional do visitante 3. Em dispositivos iOS, disparava a cadeia DarkSword (6 CVEs encadeados) 4. O exploit chain instalava silenciosamente o [[ghostblade|GHOSTBLADE]] sem qualquer interação do usuário 5. O implante estabelecia C2 para exfiltração contínua de dados **CVEs utilizados na cadeia DarkSword:** - CVE-2025-31277, CVE-2025-43529, CVE-2026-20700 - exploits de execução remota iOS - CVE-2025-14174, CVE-2025-43510, CVE-2025-43520 - escalação de privilégios e persistência **IOCs:** - Domínio de entrega: `static.cdncounter[.]net` - Domínio C2/exfiltração: `sqwas.shapelie[.]com` ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[ghostblade\|GHOSTBLADE]] | Implante iOS | Acesso persistente, keylogging, exfiltração de arquivos e dados de localização | | [[ghostknife\|GHOSTKNIFE]] | Implante iOS | Variante com menor footprint - usada pelo cluster UNC6748 | | [[ghostsaber\|GHOSTSABER]] | Implante iOS | Variante com capacidades de vigilância expandidas | | DarkSword Chain | Exploit Kit | Cadeia de 6 CVEs iOS para exploração zero-click via web | ## Timeline ```mermaid timeline title UNC6353 - Linha do Tempo 2025-12 : Primeiros watering holes detectados : Sites ucranianos comprometidos com DarkSword 2026-01 : Expansao da campanha : Novos dominios C2 identificados 2026-03-18 : Google GTIG publica análise : DarkSword, UNC6353, UNC6748 expostos : IOCs divulgados publicamente 2026-03 : Apple lanca patches para CVEs DarkSword : Cadeia neutralizada para dispositivos atualizados ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Initial Access | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Watering holes em sites ucranianos legítimos | | Execution | Exploitation for Client Execution | [[t1203-exploitation-for-client-execution\|T1203]] | Cadeia DarkSword de 6 CVEs iOS sem interação | | Defense Evasion | Masquerading | [[t1036-masquerading\|T1036]] | C2 via domínios simulando CDNs legítimas | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads ofuscados para evitar detecção | | Command and Control | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download do implante GHOSTBLADE pós-exploit | | Exfiltration | Exfiltration Over C2 | [[t1041-exfiltration-c2\|T1041]] | Exfiltração de dados via canal C2 ofuscado | ## Relevância para o Brasil e LATAM > [!medium] Risco Indireto - Técnicas Aplicáveis a Contexto LATAM > O UNC6353 opera primariamente contra alvos ucranianos com suspeita de patrocínio russo - contexto geopolítico distante do Brasil. No entanto, a cadeia DarkSword e a técnica de watering hole representam ameaça universal: qualquer dispositivo iOS desatualizado pode ser comprometido visitando um site comprometido. Organizações brasileiras com funcionários viajando à Europa Oriental ou com parceiros ucranianos devem manter dispositivos iOS atualizados rigorosamente. **Vetores de risco para o Brasil:** - **Diplomatas e funcionários do Itamaraty** com contatos ucranianos podem ser alvo de watering holes similares - **Jornalistas e pesquisadores** cobrindo o conflito ucraniano podem visitar sites comprometidos - **Empresas com fornecedores europeus** cujos funcionários usam iOS e visitam sites de regiões afetadas - A técnica de watering hole pode ser replicada por outros atores contra sites brasileiros de interesse ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Conexões para `static.cdncounter[.]net` ou `sqwas.shapelie[.]com` | DNS: bloquear e alertar para estes IOCs | | Tráfego iOS para domínios CDN desconhecidos em horário incomum | MDM/EMM: monitoramento de tráfego de dispositivos móveis gerenciados | | Versão iOS desatualizada (anterior ao patch dos CVEs DarkSword) | MDM: auditoria de versão de SO em dispositivos corporativos | | Processos não reconhecidos com persistência em iOS (via MDM) | MDM: alertas para perfis de configuração não autorizados | ## Referências - [1](https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain-unc6353-unc6748) Google GTIG - DarkSword iOS Exploit Chain: UNC6353 and UNC6748 (Mar 2026) - [2](https://www.mandiant.com/resources/blog/darksword-unc6353-ukraine-watering-holes) Mandiant - UNC6353 Ukraine Watering Holes DarkSword (2026) - [3](https://googleprojectzero.blogspot.com) Google Project Zero - DarkSword CVE Analysis (2026) **Atores relacionados:** [[unc6748|UNC6748]] · [[g1017-volt-typhoon|Volt Typhoon]] · [[g0047-gamaredon|Gamaredon]] **Malware e ferramentas:** [[ghostblade|GHOSTBLADE]] · [[ghostknife|GHOSTKNIFE]] · [[ghostsaber|GHOSTSABER]] **TTPs principais:** [[t1189-drive-by-compromise|T1189]] · [[t1203-exploitation-for-client-execution|T1203]] · [[t1041-exfiltration-over-c2-channel|T1041]] **Setores alvejados:** [[government|Governo]] · [[defense|Defesa]] · [[technology|Tecnologia]]