# Cyclops Backdoor > [!high] Backdoor do APT35 / Charming Kitten com Capacidades de Espionagem > Cyclops é um backdoor atribuído ao APT35 (Charming Kitten), grupo iraniano vinculado ao IRGC. Faz parte da família BellaCiao, backdoors .NET documentados em campanhas de espionagem contra governo, saúde e tecnologia. Oferece acesso remoto persistente com proxy SOCKS5 para movimentação lateral. ## Visão Geral O Cyclops Backdoor é um implant atribuído ao [[g0059-apt35|APT35]] (também conhecido como Charming Kitten, Phosphorus, TA453), grupo de espionagem iraniano vinculado ao IRGC (Guarda Revolucionária Iraniana). O malware é parte da família BellaCiao de backdoors .NET, documentada pela Bitdefender e outras empresas de segurança em campanhas de 2022-2024. O Cyclops estabelece acesso remoto persistente ao sistema comprometido, permitindo que os operadores do APT35 executem comandos, transfiram arquivos e usem o sistema como proxy para movimentação lateral na rede. A funcionalidade de proxy SOCKS5 é característica de operações de espionagem que visam navegar em redes internas corporativas após o comprometimento inicial. O APT35 tem histórico de campanhas contra organizações de governo, saúde, academia, jornalismo e think tanks em países considerados adversários pelo Irã, incluindo Estados Unidos, Israel, Europa e países do Golfo. > [!latam] Relevância para o Brasil e LATAM > O APT35 não tem histórico documentado de campanhas no Brasil, mas organizações brasileiras com projetos de parceria em países de interesse iraniano (Israel, EUA, Arábia Saudita), bem como empresas de **energia** com operações no Oriente Médio, podem ser alvos de interesse. A crescente presença de empresas brasileiras no mercado global de petróleo e gás as coloca potencialmente no radar de espionagem industrial iraniana. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para execução de comandos | | C2 | [[t1071-application-layer-protocol\|T1071]] | HTTP/HTTPS para comunicação com C2 | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de dados e documentos locais | | C2 | [[t1090-proxy\|T1090]] | Proxy SOCKS5 para movimentação lateral | ## Detecção - Monitorar conexões SOCKS5 de processos .NET para hosts internos incomuns - Detectar binários .NET executados fora de diretórios de aplicações conhecidas - Alertar para tráfego HTTP/HTTPS de processos de sistema fora do esperado - Correlacionar com indicadores de outros backdoors BellaCiao ## Referências - [Bitdefender - BellaCiao APT35 Analysis (2023)](https://www.bitdefender.com/blog/labs/bellaciao-multiple-incidents-targeting-government-and-healthcare/) - [Microsoft - Charming Kitten PHOSPHORUS (2022)](https://www.microsoft.com/en-us/security/blog/2022/09/08/microsoft-investigates-iranian-attacks-against-the-albanian-government/) - [MITRE ATT&CK - APT35 G0059](https://attack.mitre.org/groups/G0059/)