platinum-backdoor - RunkIntel

# Platinum Backdoor > [!medium] Backdoor de Espionagem Ligado à Campanha Operation Eastern Roppels > Platinum Backdoor é um implante de acesso remoto identificado na campanha Operation Eastern Roppels, atribuída a atores de ameaça com nexo ao Irã que visam setores de defesa e aeroespacial. Compartilha características técnicas com o arsenal do **UNC1549**, incluindo uso de cloud legítima como infraestrutura C2 e técnicas de DLL side-loading para evasão. ## Descrição O Platinum Backdoor é um implante de acesso remoto identificado em conexão com a **[[operation-eastern-roppels|Operation Eastern Roppels]]**, uma campanha de espionagem direcionada ao setor aeroespacial e de defesa. O malware foi nomeado pelos pesquisadores que documentaram a campanha, e apresenta características técnicas alinhadas com o arsenal do grupo iraniano [[unc1549]]. O backdoor utiliza técnicas de evasão típicas de implantes iranianos avançados: **DLL side-loading** em executáveis legítimos assinados para mascarar o carregamento do implante, ofuscação de código para dificultar análise estática, e uso de infraestrutura de cloud legítima (Azure ou serviços similares) como proxy de comunicação C2. Essa abordagem impede que soluções de segurança que inspecionam apenas domínios de destino identifiquem o tráfego C2 como malicioso. As capacidades documentadas do Platinum Backdoor incluem execução de comandos arbitrários no sistema comprometido, transferência de arquivos (upload e download), reconhecimento do ambiente (enumeração de processos, usuários, rede) e estabelecimento de persistência via mecanismos de inicialização do Windows. Versões analisadas também apresentam capacidades de resolução de API em tempo de execução via hashing personalizado, dificultando a análise comportamental baseada em imports. A campanha Operation Eastern Roppels, na qual este backdoor foi implantado, segue o padrão operacional do UNC1549: acesso inicial via spear-phishing com iscas de recrutamento, uso de certificados de assinatura de código legítimos, e operações pacientes de espionagem visando exfiltração de propriedade intelectual do setor de defesa ao longo de meses. **Nota sobre atribuição:** A atribuição definitiva do Platinum Backdoor ao UNC1549 ou a um subgrupo específico permanece em investigação por pesquisadores de ameaças. O nome "Platinum" foi atribuído pelos analistas que documentaram a campanha Eastern Roppels, não devendo ser confundido com o grupo de ameaça PLATINUM (ATK57) da Microsoft, que é distinto e com nexo chinês. ## Técnicas Utilizadas | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1566-phishing\|T1566]] | Spear-phishing com iscas de recrutamento (setor de defesa/aeroespacial) | | Defense Evasion | [[t1574-dll-search-order-hijacking\|T1574]] | DLL side-loading em executável legítimo assinado | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Ofuscação de código e resolução de API via hashing em runtime | | Persistence | [[t1547-boot-or-logon-autostart-execution\|T1547]] | Mecanismos de startup (Registry Run Keys ou serviços) | | Command & Control | [[t1071-application-layer-protocol\|T1071]] | HTTP/HTTPS via cloud legítima como proxy C2 | ## Grupos que Usam - [[unc1549]] - grupo iraniano (nexo IRGC), especializado em espionagem contra defesa e aeroespacial - atribuição provável com base em TTPs e infraestrutura ## Detecção 1. **Monitorar DLL side-loading em executáveis assinados** - o padrão de DLL side-loading em processos legítimos é o principal indicador do Platinum Backdoor. Detectar via Sysmon quando processos assinados por Microsoft ou fornecedores conhecidos carregam DLLs de caminhos não esperados (diretório de trabalho do usuário, `%TEMP%`, `%APPDATA%`). 2. **Alertar para beaconing regular a serviços cloud legítimos** - tráfego HTTP/HTTPS em intervalos regulares para serviços como Azure de processos não relacionados a aplicações de negócio conhecidas deve ser investigado. Ferramentas de análise de tráfego com detecção de beaconing (como Zeek/Corelight com JA3 fingerprinting) são úteis. 3. **Analisar importações de DLL em tempo de execução** - a resolução de API via hashing em runtime é detectável por análise de comportamento de memória (sandboxing). Soluções EDR que monitoram uso de `LoadLibrary` / `GetProcAddress` fora de contextos esperados podem identificar o padrão. 4. **Revisão de certificados de assinatura de código** - o UNC1549 usa certificados legítimos nos implantes. Monitorar a criação de novos certificados de assinatura de código associados a entidades desconhecidas, e implementar políticas de controle de aplicativos (AppLocker, WDAC) que vão além de apenas verificar presença de assinatura. ## Relevância LATAM/Brasil O Platinum Backdoor e a Operation Eastern Roppels têm foco documentado no Oriente Médio e em organizações do complexo industrial de defesa. A relevância para LATAM e Brasil está na exposição potencial de organizações nacionais de defesa e aeroespacial - como a Embraer, empresas do complexo industrial de Itajubá e São José dos Campos, e fornecedores da Marinha e Exército - que mantêm parcerias ou contratos com empresas israelenses e americanas visadas pelo UNC1549. O comprometimento de um parceiro pode servir como trampolim para acesso a organizações brasileiras com contratos de defesa sensíveis. ## Referências - [1](https://cloud.google.com/blog/topics/threat-intelligence/analysis-of-unc1549-ttps-targeting-aerospace-defense) Google/Mandiant - UNC1549 Analysis (2024) - [2](https://cloud.google.com/blog/topics/threat-intelligence/suspected-iranian-unc1549-targets-israel-middle-east) Google TAG - UNC1549 Targets Israel and Middle East (2024) - [3](https://industrialcyber.co/ransomware/mandiant-tracks-surge-in-unc1549-campaigns-hitting-aerospace-and-defense-through-third-party-access/) Industrial Cyber - Mandiant UNC1549 Campaigns (2024) - [4](https://attack.mitre.org/groups/G1030/) MITRE ATT&CK - UNC1549