Operação de espionagem usa documentos com modelo remoto, persistência no atualizador do Telegram Desktop, coleta de arquivos do KeePass e páginas falsas para capturar contas de alvos políticos.
| Componente | Campanha Rampant Kitten envolvendo malware para Windows, aplicativo Android malicioso, páginas de phishing contra Telegram, Telegram Desktop e arquivos do KeePass. |
| Vetor | Documento DOCX em persa carrega um modelo remoto de afalr-sharepoint[.]com; o modelo aciona macro que baixa a próxima etapa. A campanha também usa páginas falsas do Telegram e arquivos protegidos por senha hospedados em domínios controlados pelo operador. |
| Impacto | Coleta e envio de arquivos do Telegram Desktop, bases KDBX do KeePass e documentos locais com extensões como .txt, .csv, .xls, .xlsx, .ppt e .pptx; persistência por adulteração do atualizador do Telegram Desktop. |
| Prioridade | Investigar adulteração em Telegram Desktop\Updater.exe, diretórios anômalos dentro da pasta do Telegram, conexões SOAP/FTP para domínios defangados associados à operação e tentativas de autenticação em páginas falsas do Telegram. |
| Artefatos | Domínios defangados incluem afalr-sharepoint[.]com, afalr-onedrive[.]com, telegramreport[.]me, mailgoogle[.]info e endupload[.]com; alguns nomes de binários observados incluem KeePassOnlineCreator.exe, TelegramUpdater.exe, DrvUpdt.exe e Updater.exe. |
| Alvos | A atividade é descrita contra expatriados iranianos, dissidentes, minorias iranianas, organizações anti-regime e movimentos de resistência, incluindo contexto relacionado ao Mujahedin-e Khalq. |
A campanha conhecida como Rampant Kitten reúne uma operação de vigilância prolongada contra alvos ligados à oposição iraniana, expatriados, minorias e movimentos de resistência. A atividade combina comprometimento de estáções Windows, aplicativos Android maliciosos e páginas de phishing voltadas a contas do Telegram. O ponto técnico mais relevante é que os componentes não aparecem como um único implante uniforme: as amostras associadas variam em linguagem de programação, protocolo de comunicação, conjunto de dados coletados e forma de distribuição. Essa diversidade indica uma operação mantida por anos, com adaptação de ferramentas conforme o alvo e o canal de entrega disponível.
A cadeia Windows observada começa com um documento DOCX em persa cujo tema se relaciona ao conflito político envolvendo o regime iraniano e grupos de oposição. O documento usa a técnica de modelo externo para buscar conteúdo remoto em um domínio que imita um serviço de colaboração. Quando o modelo remoto é carregado, a macro presente nele aciona uma etapa intermediária que tenta obter e executar o próximo payload. O conteúdo operacional da macro e dos scripts não é necessário para defesa e foi omitido; o dado defensivo central é a combinação entre documento com modelo remoto, domínio parecido com serviço legítimo e execução posterior de um binário voltado à coleta de informações.
Depois da execução, o malware verifica a presença do Telegram Desktop no sistema infectado. Quando encontra a aplicação, extrai executáveis adicionais de seus próprios recursos e grava artefatos dentro da estrutura de trabalho do Telegram. A operação também mira o KeePass, usando a presença de bases de senhas como um ativo de alto valor. A campanha não se limita a credenciais ou mensagens: ela enumera documentos locais com extensões comuns de texto, planilha, apresentação e bases KDBX, codifica os arquivos antes do envio e tenta transferi-los para infraestrutura controlada pelo operador.
A fase inicial depende de engenharia social contextual. Um documento com nome em persa relacionado a uma pauta política é usado para atrair a abertura por vítimas com provável interesse no tema. O mecanismo de modelo externo permite que o arquivo principal pareça relativamente simples, enquanto a lógica maliciosa real vem de um servidor remoto. Esse desenho reduz a quantidade de código suspeito no documento inicial e dá ao operador flexibilidade para trocar o conteúdo remoto sem alterar o arquivo entregue ao alvo. Para defesa, a precondição crítica é a abertura do documento em ambiente capaz de buscar modelos externos e executar macro associada ao modelo carregado.
No host Windows, a etapa seguinte prepara componentes que se confundem com o ecossistema do Telegram Desktop. A campanha cria um diretório com nome semelhante a um identificador hexadecimal, 03A4B68E98C17164s, dentro da área de trabalho do aplicativo. Esse diretório é apresentado de forma enganosa por meio de configuração de aparência, fazendo com que pareça um arquivo em algumas visualizações. O objetivo é esconder payloads e apoiar persistência sem depender de uma chave de inicialização óbvia. A técnica mais marcante é a troca do Telegram Desktop\Updater.exe por um componente malicioso, enquanto o fluxo de atualização do Telegram é manipulado para reacionar o payload quando a aplicação inicia ou processa atualização.
A comunicação de uma parte da operação usa SOAP sobre endpoints que simulam serviços web. Um túnel válido começa com uma mensagem de identificação e autenticação simples, com credenciais embutidas na amostra e retorno de um identificador de sessão que é usado nas chamadas seguintes. Após estabelecer sessão, o programa tenta obter atualizações para módulos existentes e baixar módulos adicionais. Outras variantes associadas usam FTP para exfiltração de dados, o que torna importante não tratar a campanha como dependente de um único protocolo. A defesa deve correlacionar tráfego de saída incomum, endpoints web com aparência de serviços corporativos falsificados e execução local a partir da pasta do Telegram.
O componente de coleta procura arquivos do Telegram Desktop e bases do KeePass, depois expande a enumeração para extensões de documentos amplamente usadas. O envio dos arquivos ocorre após codificação em Base64, inclusive com esquema de codificação que usa uma tabela de índice personalizada em uma das amostras. Esse detalhe ajuda a diferenciar a telemetria da campanha de ferramentas administrativas comuns, mas não deve ser usado isoladamente como indicador definitivo. A operação ainda inclui uma camada móvel: um aplicativo Android se passa por serviço para ajudar falantes de persa na Suécia a obter carteira de motorista, com variantes distintas entre compilação de teste e versão de liberação.
A superfície principal envolve usuários Windows que recebem documentos temáticos e utilizam Telegram Desktop ou KeePass no mesmo perfil de usuário. O caminho citado para arquivos do Telegram se concentra em %APPDATA%\Roaming\Telegram Desktop, local onde a campanha deposita artefatos e tenta abusar do mecanismo de atualização. Ambientes com política permissiva para macros, ausência de bloqueio para modelos remotos em documentos Office e pouca visibilidade sobre alterações em diretórios de aplicativos de usuário ficam mais expostos ao primeiro estágio e à persistência subsequente.
A operação também afeta usuários que interagem com páginas falsas de Telegram ou baixam arquivos a partir de páginas criadas para temas de interesse político ou comunitário. Há casos em que um domínio promove software supostamente voltado a aumentar membros em canais do Telegram e entrega um arquivo compactado protegido por senha contendo variante do malware. Outro conjunto de páginas tenta capturar credenciais ou códigos de conta por meio de mensagens que imitam comunicações do Telegram, inclusive com aviso falso sobre uso inadequado do serviço e ameaça de bloqueio de conta. A superfície móvel aparece quando o alvo instala o aplicativo Android fraudulento, especialmente se a vítima confia no tema localizado e no idioma persa como sinal de legitimidade.
- Estáções Windows com Telegram Desktop instalado e diretórios de usuário graváveis pelo processo do documento ou do payload.
- Perfis que armazenam bases do KeePass em arquivos
.kdbxacessíveis ao usuário comprometido. - Usuários expostos a documentos em persa, arquivos compactados protegidos por senha e páginas falsas relacionadas a Telegram.
- Dispositivos Android de alvos que poderiam instalar aplicativo fraudulento disfarçado de serviço para carteira de motorista na Suécia.
- Contas de Telegram abordadas por mensagens de phishing, bots ou perfis que imitam comunicações oficiais.
A investigação deve começar pela correlação entre abertura de documentos Office, requisições de modelo remoto e criação de processos filhos incomuns. Em logs de endpoint, o encadeamento suspeito envolve um documento DOCX que realiza acesso externo para domínio defangado e, em seguida, atividade de download ou execução de binários fora de diretórios corporativos esperados. O conteúdo exato da macro não precisa ser reproduzido; a detecção defensiva deve focar no comportamento: documento buscando modelo externo, execução posterior, gravação na área do Telegram e comunicação com endpoints de comando e controle.
No host, a pasta do Telegram Desktop merece comparação com uma instalação limpa. A presença de diretórios com nomes incomuns, arquivos executáveis não reconhecidos, substituição do Updater.exe e criação recorrente de conteúdo em tupdates são sinais de persistência. Também é relevante procurar processos com nomes que tentem parecer atualizadores ou drivers, como TelegramUpdater.exe, TelegramUpdater2.exe, DrvUpdt.exe, ehtmlh.exe, CapDev.exe e uflScan.exe, observando que nomes isolados podem ser alterados pelo operador. A confirmação deve combinar caminho, assinatura, hash local, linha de processo, ancestralidade e comunicação de rede.
Na rede, a campanha deixou domínios defangados que podem ser usados como pontos de partida históricos, sem pressupor que permaneçam ativos. Exemplos incluem afalr-sharepoint[.]com, afalr-onedrive[.]com, telegramreport[.]me, mailgoogle[.]info e endupload[.]com. A comunicação SOAP para caminhos semelhantes a serviços web, tráfego FTP de saída a partir de estáções de usuário e uploads de arquivos codificados após acesso ao Telegram ou ao KeePass são padrões úteis. Em identidade, procure tentativas de login no Telegram após mensagens de phishing, mudanças de sessão inesperadas e relatos de usuários sobre alertas falsos de bloqueio de conta.
- Documento Office abrindo conexão externa para carregar modelo remoto antes de qualquer anexo adicional ser baixado.
- Criação ou alteração de
Telegram Desktop\Updater.exe,Telegram Desktop\tupdatese diretórios com nomes artificiais dentro da pasta do Telegram. - Processos de usuário fazendo leitura de arquivos
.kdbx, arquivos do Telegram Desktop e documentos locais em sequência curta. - Tráfego SOAP ou FTP para domínios recém-observados, falsamente parecidos com serviços de colaboração, armazenamento ou Telegram.
- Mensagens de Telegram com ameaça de bloqueio de conta e link para domínio defangado não pertencente ao serviço legítimo.
A resposta deve priorizar contenção do host e preservação de evidências. Em máquinas suspeitas, isole a estáção da rede, colete imagem ou artefatos de endpoint conforme o processo interno e preserve a árvore de processos, arquivos modificados na pasta do Telegram, histórico de documentos abertos e conexões de saída. Em seguida, valide a integridade do Telegram Desktop reinstalando a aplicação a partir de canal confiável e removendo resíduos do diretório comprometido depois da coleta forense. Para KeePass, trate bases acessadas no host como potencialmente expostas e revise a necessidade de troca de senhas armazenadas, começando por contas críticas, chaves de serviço e credenciais que não tenham segundo fator resistente a phishing.
No controle preventivo, bloqueie ou alerte carregamento de modelos remotos em documentos Office quando a função não for necessária ao negócio. Políticas de macros devem ser restritivas, com bloqueio para conteúdo vindo da internet e registro de exceções. Regras de EDR podem monitorar gravações em Telegram Desktop\Updater.exe, execução de binários a partir de subdiretórios do Telegram e leitura em massa de documentos seguida de conexões externas. Em gateways e DNS, os domínios históricos defangados devem ser usados para hunting e enriquecimento, não como única defesa, porque a infraestrutura de uma campanha antiga pode mudar ou desaparecer.
Para phishing, a mitigação passa por resposta de identidade e educação direcionada. Usuários de alto risco devem ser orientados a desconfiar de mensagens que ameacem bloqueio de conta e peçam validação fora do domínio legítimo do Telegram. Quando houver suspeita de captura de conta, revogue sessões desconhecidas, revise dispositivos conectados, habilite verificação em duas etapas quando aplicável e investigue conversas recentes usadas para distribuição secundária. Em Android, bloqueie instalação de aplicativos fora de lojas ou repositórios aprovados, revise permissões concedidas a aplicativos com tema localizado e use telemetria móvel para identificar pacotes não autorizados relacionados à campanha.
- Isolar hosts suspeitos e preservar artefatos antes de limpar arquivos na pasta do Telegram Desktop.
- Reinstalar Telegram Desktop de fonte confiável e verificar se
Updater.execorresponde ao binário legítimo esperado. - Revisar e trocar credenciais presentes em bases KeePass acessadas pelo host comprometido, priorizando contas sensíveis.
- Bloquear macros e modelos remotos em documentos Office quando não houver necessidade operacional justificada.
- Criar detecções para leitura em massa de
.kdbxe documentos seguida de tráfego externo SOAP ou FTP. - Revogar sessões suspeitas do Telegram e reforçar verificação em duas etapas para usuários visados.
0 Comentários