unc6748 - RunkIntel

# UNC6748 > [!danger] UNC6748 - Cliente da Ferramenta de Vigilancia PARS Defense, Atacou Arabia Saudita > **UNC6748** e um ator de ameaça nao atribuido identificado pelo Google GTIG em marco de 2026, distinto do [[unc6353|UNC6353]] apesar de usar a mesma cadeia de exploits **DarkSword**. O grupo operou como **cliente do fornecedor de vigilancia comercial PARS Defense** (empresa turca), conduzindo campanhas de phishing tematicas do Snapchat contra alvos na Arabia Saudita para implantar [[ghostknife|GHOSTKNIFE]] em iPhones. Representa a proliferacao de ferramentas de espionagem iOS comerciais alem do contexto NSO/Pegasus. ## Visão Geral **UNC6748** e rastreado pelo Google GTIG como cluster separado de [[unc6353|UNC6353]], embora ambos utilizem a cadeia de exploits **DarkSword** nos mesmos CVEs iOS. A separacao em clusters distintos reflete que o PARS Defense vende sua ferramenta a **múltiplos clientes independentes** - modelo de negocios identico ao da NSO Group (Pegasus) e Candiru. **Contexto do fornecedor PARS Defense:** - Empresa turca fornecedora de ferramentas de vigilancia comercial (CST - Commercial Surveillance Technology) - Desenvolveu a cadeia DarkSword (6 CVEs iOS) como produto de exploração zero-click - Familia de implantes GHOST- (GHOSTBLADE, GHOSTKNIFE, GHOSTSABER) como produto principal - UNC6748 e um **cliente identificado**, nao o desenvolvedor da tecnologia - A identificação do fornecedor foi possível pela análise de similaridade de código entre implantes usados por UNC6353 e UNC6748 **Campanha principal:** O UNC6748 criou o dominio de phishing `snapshare[.]chat` - imitando o Snapchat - para atrair alvos a visitar uma URL que disparava a cadeia DarkSword nos seus iPhones. A escolha do Snapchat como lure e estratégica: a plataforma e popular na Arabia Saudita e entre jovens ativistas e dissidentes na regiao. **Perfil dos alvos:** individuos na Arabia Saudita de interesse para um cliente governamental ou privado - perfil consistente com vigilancia politica, monitoramento de dissidentes ou operações de contra-inteligência saudita. ```mermaid graph TB A["Phishing Snapchat snapshare.chat T1566.002 - Link malicioso"] --> B["Visita no iPhone Trigger da cadeia DarkSword T1203 - Exploitacao iOS"] B --> C["6 CVEs encadeados RCE + Escalacao Zero-click completo"] C --> D["Instalacao GHOSTKNIFE Implante persistente iOS T1105 - Transfer"] D --> E["Keylogging e Arquivos Dados pessoais e corporativos T1056.001 - Keylogging"] E --> F["Exfiltração para C2 Comúnicação cifrada T1041 - C2 channel"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#922b21,color:#fff style D fill:#7b241c,color:#fff style E fill:#196f3d,color:#fff style F fill:#6c3483,color:#fff ``` ## Campanhas Documentadas ### Campanha de Phishing Snapchat - Arabia Saudita (2025-2026) Campanha documentada pelo Google GTIG: **Infraestrutura utilizada:** - Dominio phishing: `snapshare[.]chat` (imitando Snapchat) - Design do site criado para ser convincente para usuarios de Snapchat - Exploração zero-click: após visitar o link, o iPhone era comprometido sem interação adicional **Alvo e contexto:** - Foco em individuos na Arabia Saudita - Perfil sugestivo de vigilancia politica ou monitoramento de dissidentes - O Snapchat foi escolhido como tema por ser amplamente usado na regiao **Implante implantado:** - [[ghostknife|GHOSTKNIFE]] - variante mais leve do GHOSTBLADE, otimizada para menor footprint e detecção reduzida - Capacidades: keylogging, acesso a arquivos, localização GPS, interceptação de comúnicacoes ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[ghostknife\|GHOSTKNIFE]] | Implante iOS | Vigilancia persistente - keylogging, arquivos, GPS, comúnicacoes | | DarkSword Chain | Exploit Kit | Cadeia de 6 CVEs iOS para exploração zero-click via web/link | ## Timeline ```mermaid timeline title UNC6748 - Linha do Tempo 2025 : Primeiras operacoes identificadas : PARS Defense fornece acesso a DarkSword 2025-12 : Campanha Snapchat Arabia Saudita : snapshare.chat registrado e usado 2026-03-18 : Google GTIG publica análise conjunta : UNC6748 identificado como cliente PARS : IOCs divulgados publicamente 2026-03 : Apple patches para CVEs DarkSword : Capacidade zero-click neutralizada temporariamente ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Initial Access | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Link de phishing tematico Snapchat enviado para alvos | | Execution | Exploitation for Client Execution | [[t1203-exploitation-for-client-execution\|T1203]] | Cadeia DarkSword de 6 CVEs iOS zero-click | | Defense Evasion | Masquerading | [[t1036-masquerading\|T1036]] | Dominio de phishing imitando servico legitimo | | Persistence | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Instalacao do GHOSTKNIFE pos-exploit | | Collection | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de teclado e comúnicacoes do dispositivo | | Exfiltration | Exfiltration Over C2 | [[t1041-exfiltration-c2\|T1041]] | Exfiltração de dados via canal C2 cifrado | ## Relevância para o Brasil e LATAM > [!medium] Risco Indireto - CSTs Proliferando para Novos Mercados > O UNC6748 ilustra um vetor crescente: ferramentas de vigilancia comercial (CSTs) compradas por estados e atores privados para espionar alvos específicos. O Brasil tem historico de interesse em vigilancia de dissidentes, jornalistas e ativistas - o mesmo perfil de alvos da campanha UNC6748. A proliferacao de fornecedores como PARS Defense (alem do já conhecido Pegasus/NSO) aumenta o risco de que organizacoes ou individuos brasileiros sejam alvos de clientes dessas ferramentas. **Vetores de risco para o Brasil:** - **Jornalistas e ativistas** brasileiros com exposicao internacional podem ser alvos de CSTs similares - **Executivos e politicos** com iPhones podem ser vetores de phishing tematico de aplicativos populares (WhatsApp, Instagram, Nubank) - **Empresas com operações no Oriente Medio** cujos executivos viajam a regiao estao expostos a campanhas similares **Recomendacoes:** - Manter iOS sempre atualizado - patches para CVEs DarkSword foram liberados em marco 2026 - Ativar **Lockdown Mode** no iPhone para individuos de alto risco - Desconfiar de links para versoes alternativas de aplicativos populares ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Acesso ao dominio `snapshare[.]chat` em logs de proxy/DNS | DNS/proxy: bloquear e alertar imediatamente | | Versao iOS desatualizada em dispositivos corporativos | MDM: auditoria e enforcement de versao minima de iOS | | Processos nao reconhecidos com acesso a camera/microfone no iOS | MDM: monitoramento de permissoes de aplicativos | | Trafego de saida incomum de dispositivos iOS para IPs externos | MDM/Network: análise de trafego de dispositivos moveis gerenciados | | Perfis de configuração iOS nao autorizados | MDM: auditoria periodica de perfis instalados | ## Referências - [1](https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain-unc6353-unc6748) Google GTIG - DarkSword iOS Exploit Chain: UNC6353 and UNC6748 (Mar 2026) - [2](https://www.mandiant.com/resources/blog/pars-defense-darksword-commercial-surveillance) Mandiant - PARS Defense DarkSword Commercial Surveillance Tool (2026) - [3](https://citizenlab.ca) CitizenLab - Proliferation of Commercial Surveillance Tools (referência contextual) **Atores relacionados:** [[unc6353|UNC6353]] · [[g0050-apt32|APT32]] · [[predator-surveillance|Predator/Intellexa]] **Malware e ferramentas:** [[ghostknife|GHOSTKNIFE]] · [[ghostblade|GHOSTBLADE]] · [[ghostsaber|GHOSTSABER]] **TTPs principais:** [[t1566-002-spearphishing-link|T1566.002]] · [[t1203-exploitation-for-client-execution|T1203]] · [[t1056-001-keylogging|T1056.001]] · [[t1041-exfiltration-over-c2-channel|T1041]] **Setores alvejados:** [[government|Governo]] · [[defense|Defesa]] · [[technology|Tecnologia]]