seaweed-backdoor - RunkIntel

# Seaweed Backdoor > [!high] Backdoor de Espionagem Iraniana Contra Telecomúnicações e Viagens - APT39 (Chafer) > Seaweed (também conhecido como Remexi) é um backdoor Windows personalizado do grupo iraniano APT39 (Chafer), usado em campanhas de espionagem de longa duração contra operadoras de telecomúnicações e empresas de viagens. Seu objetivo central é a coleta de metadados de chamadas (CDR), itinerários de viagem e informações de passaportes para vigilância estatal iraniana. ## Visão Geral O Seaweed (também rastreado como Remexi) é um backdoor Windows personalizado atribuído ao [[g0087-apt39|APT39]] (Chafer), grupo de espionagem iraniano ativo desde 2014. Diferentemente de grupos iranianos focados em sabotagem ou destruição, o APT39 se especializou em vigilância direcionada de pessoas — coletando metadados de chamadas (CDR), registros de passageiros (PNR) e credenciais de executivos para apoiar objetivos de inteligência do Estado iraniano. O Seaweed entrega esse objetivo via acesso remoto persistente com capacidades de keylogging, captura de tela, roubo de credenciais e exfiltração silenciosa de baixo volume via HTTPS. O alvo central do APT39 são operadoras de telecomúnicações e empresas do setor de viagens e aviação, cujos sistemas armazenam dados de rastreamento de indivíduos em escala massiva. A campanha mais documentada utilizou spear-phishing com o implante POWBAT para acesso inicial, seguido de meses ou anos de presença silenciosa enquanto dados são coletados. A comunidade iraniana da diáspora no Brasil e funcionários governamentais brasileiros com vínculos ao Irã são perfis potencialmente de interesse para o grupo. > [!latam] Relevância para Brasil e LATAM > O APT39 foca no Oriente Médio, mas tem alcance documentado nos EUA e Coreia do Sul. Para o Brasil, operadoras de telecomúnicações que servem a comunidade iraniana da diáspora (significativa no Brasil) e funcionários governamentais envolvidos em relações com o Irã são alvos de interesse para coleta de metadados de chamadas (CDR). O Brasil também mantém acordos diplomáticos e comerciais com o Irã que podem motivar operações de coleta de inteligência. ## Descrição O Seaweed (rastreado também como **Remexi**) é um backdoor Windows customizado atribuído ao [[g0087-apt39|APT39]], grupo de espionagem com nexo iraniano ativo desde aproximadamente 2014. O APT39 é distinto de outros grupos iranianos pela sua especialização em vigilância de pessoas - a coleta de dados pessoais de indivíduos específicos para apoiar objetivos de inteligência do estado iraniano - em vez de operações disruptivas ou de sabotagem. O Seaweed fornece acesso remoto persistente aos sistemas comprometidos com um conjunto robusto de capacidades: execução remota de comandos via shell, transferência de arquivos em ambas as direções, captura de tela sob demanda, keylogging e coleta de credenciais de browsers e clientes de email. A combinação dessas capacidades permite que operadores do APT39 realizem vigilância abrangente de alvos de interesse. As operações típicas do APT39 com Seaweed seguem um padrão de **persistência silenciosa de longa duração**: após o acesso inicial via spear-phishing (frequentemente usando anexos POWBAT), o grupo estabelece persistência via Registry Run Keys, realiza reconhecimento inicial discreto, e gradualmente escala para coleta de dados específicos de alto valor - registros de chamadas (CDR) de sistemas de telecomúnicações, Passenger Name Records (PNR) de sistemas de reservas aéreas, e credenciais de executivos de alto valor. O APT39 é conhecido por complementar o Seaweed com um arsenal de ferramentas adicionais: **Mimikatz** para dumping de credenciais e escalada de privilégio, **PsExec/RemCom** para movimento lateral, proxies customizados (**REDTRIP, PINKTRIP, BLUETRIP**) para tunelamento SOCKS5, e web shells (**ANTAK, ASPXSPY**) para acesso alternativo a servidores comprometidos. Esta abordagem em camadas garante acesso redundante e dificulta erradicação completa. As comúnicações C2 do Seaweed usam HTTPS para mascarar o tráfego de coleta e exfiltração. O volume de dados exfiltrados é mantido baixo para evitar detecção por anomalias de volume de tráfego - o grupo prefere conexões frequentes de baixo volume ao longo de períodos estendidos. ## Técnicas Utilizadas | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1566-phishing\|T1566]] | Spear-phishing com POWBAT ou links para exploits de servidores web | | Execution | [[t1059-command-and-scripting-interpreter\|T1059]] | Shell remoto para execução de comandos arbitrários | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | Startup automático via Registry Run Keys ou Scheduled Tasks | | Credential Access | [[t1555-credentials-from-password-stores\|T1555]] | Roubo de credenciais de browsers, email (OWA, Outlook) | | Collection | [[t1113-screen-capture\|T1113]] | Captura de tela sob demanda | | Collection | [[t1056-input-capture\|T1056]] | Keylogging para captura de credenciais e informações digitadas | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de CDR, PNR, passaportes de sistemas de telecomúnicações e viagens | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração HTTPS de baixo volume para evitar detecção | ## Grupos que Usam - [[g0087-apt39]] - desenvolvedor e operador principal; grupo iraniano focado em vigilância de pessoas e coleta de metadados de telecomúnicações ## Detecção 1. **Monitorar acesso anômalo a bancos de dados de CDR/PNR** - o objetivo final do APT39 é acesso a dados de metadados de chamadas e registros de passageiros. Implementar monitoramento de queries SQL incomuns em sistemas de telecomúnicações e reservas aéreas, especialmente fora do horário comercial ou por contas de serviço não habituais. 2. **Detectar POWBAT e variantes em anexos de email** - POWBAT é o vetor inicial preferido. Sandboxes de email que detectam scripts PowerShell ofuscados em documentos Office ou arquivos comprimidos reduzem a taxa de comprometimento inicial. Regras Sigma para PowerShell com alta entropia de base64 são eficazes. 3. **Alertar para conexões HTTPS regulares com baixo volume** - o padrão de beaconing do Seaweed é de baixo volume e frequência regular. Ferramentas de análise de tráfego como Zeek com scripts de detecção de beaconing (identificam intervalos periódicos de conexão) podem identificar o C2 mesmo sem conhecer o domínio. 4. **Monitorar ferramentas de tunneling (SOCKS5 proxy)** - o APT39 usa proxies customizados (REDTRIP, PINKTRIP, BLUETRIP) para tunelamento. Detectar criação de serviços de proxy SOCKS5 não autorizados em estações de trabalho ou servidores, especialmente em sistemas de telecomúnicações. ## Relevância LATAM/Brasil O APT39 foca em telecomúnicações e viagens no Oriente Médio, mas operações documentadas alcançaram os EUA e Coreia do Sul, indicando capacidade e interesse em alvos globais. Para o Brasil e LATAM, as operadoras de telecomúnicações são os principais alvos de risco: dados de CDR de cidadãos com conexões com o Irã (comunidade iraniana da diáspora no Brasil, que é significativa) ou envolvidos em questões diplomáticas podem ser de interesse para a inteligência iraniana. O Brasil também possui acordos diplomáticos e comerciais com o Irã que poderiam motivar operações de coleta de inteligência contra funcionários governamentais brasileiros. ## Referências - [1](https://attack.mitre.org/groups/G0087/) MITRE ATT&CK - APT39 G0087 - [2](https://securityaffairs.com/80450/apt/iran-apt39-cyberespionage.html) Security Affairs - APT39 Cyberespionage Analysis - [3](https://www.hedgehogsecurity.co.uk/blog/apt39-a-closer-look) HedgehogSecurity - APT39 Closer Look - [4](https://socprime.com/news/apt39-conducts-cyberespionag-operations-targeted-at-the-middle-east/) SOC Prime - APT39 Operations Against Middle East - [5](https://attack.mitre.org/docs/training-cti/FireEye%20APT39%20-%20answers.pdf) FireEye - APT39 CTI Analysis