Campanha atribuída ao cluster Lying Pigeon imita entidades europeias e moldavas, distribui documentos PDF falsificados e coleta dados de alvos em governo, Justiça e educação.
| Componente | Campanha Operation MiddleFloor, atribuída ao cluster Lying Pigeon, com páginas falsas, servidores de e-mail próprios, formulários web e documentos PDF falsificados. |
| Vetor | E-mails direcionados a órgãos governamentais, sistema judicial e instituições de ensino da Moldávia, com anexos PDF e links para domínios que imitam entidades europeias e ministérios moldavos. |
| Impacto | Desinformação política anti-UE e antigoverno, coleta de dados pessoais fornecidos em formulários, registro de dados de navegação e possível preparação para ataques mais direcionados contra vítimas que interagiram com a infraestrutura. |
| Prioridade | Bloquear domínios falsificados, revisar mensagens recebidas entre agosto e setembro de 2024, identificar acessos a páginas de coleta e orientar usuários expostos a documentos supostamente emitidos por entidades europeias ou ministérios. |
| Artefatos | Documentos PDF falsos sobre regras de adesão à União Europeia, supostas medidas migratórias, aumento de preços de gás e programa de embaixadores da UE; scripts logger.js, logger.php e script.php foram usados na coleta. |
| IoCs | Exemplos defangados incluem europa[.]study, europa-eppo[.]eu, europa-ec[.]eu, 185.255.132[.]69 e hash SHA-256 de logger.js 4df435afa20401e3af2d17bf8dd67a9d8553520e29cc05905fc9458b8e81ce8f. |
A Operation MiddleFloor é uma campanha de desinformação habilitada por infraestrutura cibernética que teve como foco principal a Moldávia no período anterior à eleição presidencial e ao referendo nacional sobre adesão à União Europeia, marcados para 20 de outubro de 2024. A atividade observada começou no início de agosto de 2024 e mirou setores governamentais e educacionais, com mensagens que exploravam temas sensíveis da política local, incluindo valores europeus, processo de integração à UE, migração, educação, gênero, custo de energia e confiança em autoridades pró-europeias. O objetivo aparente não era apenas publicar conteúdo falso de forma ampla, mas entregar narrativas diretamente a indivíduos e organizações escolhidas por e-mail, reduzindo a visibilidade pública da campanha e aumentando a aparência de legitimidade das mensagens recebidas.
A operação se diferencia de campanhas de desinformação baseadas em redes sociais porque usa comunicação privada, anexos PDF, domínios semelhantes aos de instituições legítimas e formulários controlados pelos operadores. Essa escolha cria um fluxo híbrido: o conteúdo falso tenta influenciar percepção política, enquanto os sites associados registram interações e coletam dados fornecidos pelas vítimas. O material disponível sustenta atribuição ao cluster Lying Pigeon e indica sobreposição com atividade rastreada como APT-UNK2, incluindo histórico anterior de falsificação de sites, envio de mensagens fraudulentas e distribuição de infostealer em outra campanha europeia. A atribuição deve ser tratada como técnica e baseada em infraestrutura, registros, pivôs de domínio, padrões de hospedagem e temas recorrentes, não como confirmação pública de autoria estatal.
A cadeia de atividade começa com e-mails que simulam comunicações oficiais. Em uma das primeiras ondas, servidores públicos e pessoas em cargos estatais receberam um PDF falsificado que alegava vir da Comissão Europeia e descrevia regras que funcionários moldavos supostamente deveriam cumprir após uma eventual entrada do país na União Europeia. O documento continha um endereço de e-mail falso atribuído a um especialista real e direcionava a vítima para um formulário hospedado em europa[.]study. A função desse material era dar verniz institucional à narrativa e conduzir o destinatário para uma infraestrutura sob controle dos operadores, onde a interação poderia ser registrada.
Outra peça da campanha imitava o Gabinete do Procurador Europeu e tinha como alvo autoridades moldavas, especialmente no sistema judicial. O documento solicitava dados pessoais e informações sobre atividades comerciais de familiares próximos, sob o pretexto de conformidade com regras anticorrupção da União Europeia. O domínio usado nessa etapa, europa-eppo[.]eu, não correspondia ao repositório legítimo de documentos da entidade imitada, e o material apresentava sinais de falsificação, como falhas de gramática, ausência de modelo institucional correto e inconsistências formais. Quando a vítima submetia dados pelo formulário, a página enviava uma requisição POST para script.php e redirecionava para uma tela de envio concluído. A resposta indicava integração com um bot de Telegram chamado setsetinbot, sugerindo notificação operacional quando uma vítima entregava informações pelo formulário.
Além dos formulários, páginas secundárias da infraestrutura redirecionavam visitantes para sites legítimos enquanto registravam metadados. O script logger.js, associado ao SHA-256 4df435afa20401e3af2d17bf8dd67a9d8553520e29cc05905fc9458b8e81ce8f, coletava agente de usuário, endereço IP e URL acessada, depois enviava esses dados para logger.php. A existência de respostas separadas para submissões de formulário e visitas gerais sugere separação operacional entre vítimas engajadas e usuários curiosos, pesquisadores ou verificadores que acessassem páginas não destinadas à coleta principal. Essa segmentação melhora a visibilidade dos operadores sobre o comportamento de quem interage com a infraestrutura sem exigir malware na primeira etapa.
A superfície exposta inclui caixas de e-mail de servidores públicos, funcionários do Judiciário, instituições de ensino, universidades e organizações moldavas que receberam mensagens durante agosto e setembro de 2024. A campanha também explorou públicos fora da Moldávia quando enviou mensagem em inglês para mais de 80 destinatários em uma universidade europeia, usando domínio falsificado europa-ec[.]eu. Nesse caso, a mensagem aparentava defender uma agenda pró-europeia, mas introduzia alegações falsas sobre educação, desempenho acadêmico e restrições profissionais. O uso de uma narrativa supostamente favorável à UE indica tentativa de enfraquecer a confiança por meio de conteúdo absurdo ou socialmente sensível atribuído falsamente a instituições europeias.
A operação também usou documentos que simulavam comunicações de ministérios moldavos. No início de setembro, organizações e instituições da Moldávia receberam uma suposta resolução do Ministério do Trabalho e Proteção Social sobre mudanças de política migratória. O texto alegava medidas como metas obrigatórias de migração, construção de mesquitas e simplificação de cidadania para trabalhadores estrangeiros, pontos depois desmentidos por autoridades moldavas. Em meados de setembro, outra mensagem se passava pelo Ministério da Energia e alegava aumento de preços de gás e interrupções planejadas no fornecimento durante o inverno. Uma onda de 24 de setembro falsificou o domínio do Ministério da Educação e Pesquisa e entregou um PDF chamado Privind aprobarea Programului ambasadorilor UE.pdf, com conteúdo sobre educação sexual e gênero em contexto de integração europeia.
Os artefatos também traziam sinais linguísticos e de metadados úteis para investigação. Um e-mail em inglês continha construções que pareciam traduções literais de outro idioma, incluindo formulações incompatíveis com uso natural do inglês. A expressão relacionada a banheiros de “middle floor” corresponde ao sentido de banheiros de gênero neutro em russo, reforçando a hipótese de origem linguística russa para parte do material. Dois PDFs atribuídos falsamente a instituições europeias apresentavam metadados de idioma ru-RU e fuso UTC+3. Esses elementos não são prova isolada de autoria, mas ajudam a correlacionar criação de documentos, ambiente de produção e padrões de erro.
- Contas de e-mail em governo, Judiciário, ministérios, universidades e instituições de ensino da Moldávia expostas a mensagens com anexos PDF falsificados.
- Usuários que acessaram
europa[.]study,europa-eppo[.]euoueuropa-ec[.]eupodem ter tido dados de navegação registrados pela infraestrutura da campanha. - Pessoas que preencheram formulários falsos podem ter entregue informações pessoais e dados sobre familiares ou atividades comerciais a operadores da campanha.
A investigação defensiva deve começar por gateways de e-mail, logs de autenticação, caixas de correio e telemetria de proxy entre agosto e setembro de 2024. O ponto central é localizar mensagens que aleguem origem em entidades europeias, ministérios moldavos ou órgãos de Justiça e educação, especialmente quando houver anexos PDF com temas de adesão à UE, migração, gás, educação, gênero, integridade pública ou programas de embaixadores. Como a campanha usa e-mail direcionado, a ausência de grande volume não reduz a criticidade: uma única mensagem entregue a um servidor público ou funcionário com acesso sensível pode gerar coleta de dados, exposição de relações institucionais e novo material para abordagem posterior.
Em rede, a defesa deve procurar acessos HTTP ou HTTPS a domínios defangados associados à campanha e a padrões de requisição para script.php e logger.php. A presença de redirecionamento para páginas legítimas não deve ser tratada como benignidade; nesse fluxo, o redirecionamento aparece como mecanismo para mascarar a coleta. Em endpoints, a análise de PDFs deve priorizar metadados de idioma, datas de criação, autor, fuso horário e inconsistências com modelos oficiais. Em SIEM, correlações úteis incluem entrega de e-mail, clique em link, submissão de formulário, resposta JSON do servidor e posterior contato por novas mensagens semelhantes.
A infraestrutura de e-mail também oferece pivôs. Os operadores usaram Mailcow, uma suíte aberta de servidor de e-mail, para hospedar servidores próprios e aumentar controle sobre domínios e envio. Um domínio inicial, europa[.]study, e seu subdomínio Sogo resolveram temporariamente para 185.255.132[.]69, hospedado no AS 204997. O mesmo endereço IP apareceu anteriormente ligado a domínios como otllook[.]com, sapsap[.]site, te-storg[.]com e mailorun[.]su. A correlação com registros de e-mail de registrante, registros SPF, MX e servidor compartilhado mail.mailos[.]ru amplia a capacidade de agrupar atividade, embora cada pivô precise ser validado antes de virar bloqueio amplo para evitar falso positivo.
- Mensagens com remetentes que imitam Comissão Europeia, EPPO, Ministério da Energia, Ministério do Trabalho ou Ministério da Educação e Pesquisa da Moldávia.
- Acessos a
europa[.]study,europa-eppo[.]eu,europa-ec[.]eue requisições contendologger.phpouscript.php. - PDFs com metadados
ru-RU, fusoUTC+3, erros gramaticais, modelos institucionais incorretos ou temas políticos sensíveis apresentados como ordens oficiais. - Respostas web em JSON indicando envio para bots de Telegram após submissão de formulário ou registro de visita.
- Resolução histórica de domínios falsificados para infraestrutura de e-mail própria, incluindo servidores Mailcow e registros MX/SPF alinhados ao mesmo endereço IP.
A resposta deve combinar bloqueio técnico, validação institucional e redução de exposição de usuários. O primeiro passo é identificar destinatários que receberam as mensagens e separar quem apenas recebeu, quem abriu anexo, quem clicou em link e quem preencheu formulário. Para vítimas que enviaram dados, a organização deve tratar o caso como coleta direcionada de informações pessoais e contexto institucional, com orientação individual, monitoramento de novas tentativas de spear phishing e revisão de exposição pública de dados profissionais. Não há evidência no contexto de execução automática de malware nessa etapa da Operation MiddleFloor, portanto a resposta deve se concentrar em e-mail, navegação, identidade, exposição de dados informados voluntariamente e preparação para ataques subsequentes.
Bloqueios de domínio e IP devem ser acompanhados por regras de detecção baseadas em comportamento, porque a campanha usa domínios de aparência institucional e pode registrar novos nomes. Filtros eficazes devem combinar similaridade de domínio com entidades europeias e moldavas, presença de PDF anexo, assuntos políticos sensíveis, links para formulários externos e páginas que redirecionam para sites legítimos após coleta. Em paralelo, equipes de comunicação interna devem estabelecer canal oficial para validação de documentos sobre UE, migração, energia e educação, pois o impacto da campanha depende da confiança do destinatário na falsa autoridade do remetente.
No nível de governança, é importante preservar amostras de e-mail, cabeçalhos completos, anexos e logs de proxy para análise posterior. Os artefatos devem ser armazenados em ambiente controlado e compartilhados com times de segurança sem publicar links ativos ou listas extensas de indicadores. Controles de autenticação de e-mail, como validação rigorosa de SPF, DKIM e DMARC para domínios próprios, não impedem a falsificação de domínios semelhantes, mas ajudam a separar spoofing direto de lookalike domains. Ações de conscientização devem usar exemplos internos defangados e focar no processo: verificar remetente real, domínio, origem do documento, repositório oficial e necessidade legítima de fornecimento de dados pessoais antes de submeter qualquer formulário.
- Inventariar mensagens recebidas entre agosto e setembro de 2024 com temas de UE, eleição, referendo, migração, gás, Justiça e educação.
- Bloquear e monitorar domínios defangados conhecidos, além de criar detecções para domínios semelhantes a entidades europeias e órgãos moldavos.
- Revisar logs de proxy e DNS para acessos a páginas de coleta, especialmente caminhos associados a
logger.phpescript.php. - Orientar destinatários que preencheram formulários falsos e monitorar novas mensagens direcionadas a esses usuários ou seus setores.
- Preservar cabeçalhos, anexos PDF e registros de navegação para correlação, sem redistribuir links ativos ou indicadores em formato que facilite abuso.
0 Comentários