Campanhas contra a base industrial de defesa combinam espionagem estatal, abuso de processos de contratação, dispositivos de borda, ORBs, malware móvel e risco de cadeia de suprimentos ligado à manufatura.
| Componente | Base industrial de defesa, contratadas de defesa, manufatura, entidades militares, aplicativos de mensagens, dispositivos de borda, portais de login e sistemas ligados a drones e veículos autônomos. |
| Vetor | Campanhas de phishing, abuso de processos de recrutamento, exploração de dispositivos e aplicações expostas, distribuição de malware por mensageria, sequestro de vinculação de dispositivos no Signal e uso de redes ORB para reconhecimento. |
| Impacto | Espionagem, acesso remoto persistente, coleta de credenciais, coleta de arquivos locais, reconhecimento de operadores de drones, comprometimento de contas de mensagens e pressão contínua sobre manufatura ligada à defesa. |
| Prioridade | Priorizar defesa de identidades, mensageria segura, dispositivos de borda, portais públicos, telemetria de EDR, inventário de fornecedores e revisão de processos de contratação usados como isca. |
| Artefatos | WAVESIGN, VERMONSTER, SPECTRUM, FIRMACHAGENT, MESSYFORK, GREYBATTLE, SmallTiger, THINWAVE, MINIBIKE, TWOSTROKE, DEEPROOT, CRASHPAD, GALLGRAB, CraxsRAT e INFINITERED aparecem no conjunto de atividades descrito. |
| Atores | A atividade envolve grupos ou clusters associados a Rússia, China, Irã e Coreia do Norte, incluindo APT44, TEMP.Vermin, UNC5125, UNC5792, UNC2970, UNC1549, APT5, UNC3236 e UNC6508. |
A base industrial de defesa aparece como alvo de uma convergência de operações cibernéticas conduzidas por atores associados a China, Irã, Rússia e Coreia do Norte. O conjunto de atividades descrito não se concentra em um único vetor: ele combina espionagem contra entidades que empregam tecnologias no campo de batalha, aproximação direta de funcionários, abuso de processos de contratação, exploração de dispositivos de borda, reconhecimento por redes de retransmissão e risco de cadeia de suprimentos a partir de incidentes na manufatura. O setor de defesa, nesse cenário, não é apenas um alvo documental; ele é uma superfície operacional onde propriedade intelectual, comunicações táticas, credenciais, relações com fornecedores e acesso a ambientes industriais podem ter valor estratégico.
Quatro temas técnicos se destacam. O primeiro é a pressão sobre organizações de defesa ligadas à guerra entre Rússia e Ucrânia, especialmente onde drones, veículos autônomos, defesa antidrones, vigilância e aplicações de campo são usados. O segundo é a abordagem de pessoas por meio de recrutamento, currículos, testes de personalidade e campanhas do tipo emprego dos sonhos, exploradas por atores ligados à Coreia do Norte e ao Irã. O terceiro é o uso de dispositivos de borda e appliances como caminhos de acesso inicial por grupos ligados à China. O quarto é o risco indireto da manufatura, já que fornecedores e fabricantes conectados à cadeia de defesa podem ser atingidos por intrusões, extorsão, interrupção e exposição operacional.
Nas operações ligadas à Rússia, a atividade descrita inclui campanhas contra militares, governo, operadores de drones e usuários de aplicativos de mensagens. APT44, também conhecido como Sandworm, teria tentado obter informações de Telegram e Signal após provável acesso físico a dispositivos capturados em operações no terreno na Ucrânia. O artefato WAVESIGN, descrito como script em lote para Windows, é associado à tentativa de descriptografar e extrair dados do aplicativo Signal Desktop. O ponto defensivo relevante é que a ameaça não depende apenas de exploração remota: a cadeia também pode começar quando um endpoint físico sai do controle do usuário, permitindo acesso a sessões locais, armazenamento de aplicativos e chaves protegidas pelo contexto do dispositivo.
TEMP.Vermin, também rastreado como UAC-0020, aparece usando famílias como VERMONSTER, SPECTRUM e FIRMACHAGENT com iscas relacionadas a produção e desenvolvimento de drones, sistemas de defesa antidrones e sistemas de videovigilância. UNC5125, também identificado como FlyingYeti ou UAC-0149, conduziu campanhas altamente direcionadas contra unidades de drones na linha de frente. A atividade incluiu questionário hospedado no Google Forms para reconhecimento de potenciais operadores de drones e distribuição, por aplicativos de mensagens, do malware MESSYFORK a um operador de veículo aéreo não tripulado na Ucrânia. O mesmo cluster também teria usado GREYBATTLE, uma versão personalizada do trojan bancário Hydra para Android, distribuída por site que imitava uma empresa ucraniana de inteligência artificial militar, com objetivo de obter credenciais e dados.
Outros clusters russos descritos ampliam a superfície para mensageria, RDP e Android. UNC5792, também chamado UAC-0195, explorou aplicativos de mensagens seguras contra entidades militares e governamentais ucranianas, além de indivíduos e organizações em Moldova, Geórgia, França e Estados Unidos; a técnica destacada é o abuso do recurso de vinculação de dispositivos do Signal para sequestrar contas de vítimas. UNC5976 entregou arquivos de conexão RDP maliciosos configurados para comunicação com domínios controlados pelo ator e visualmente associados a uma operadora ucraniana de telecomunicações. UNC6096 usou temas relacionados ao DELTA em operações por WhatsApp, com atalho LNK dentro de arquivo compactado e carga secundária. Para Android, GALLGRAB é descrito como coletor de arquivos locais, contatos e possivelmente dados de usuário criptografados de aplicações especializadas de campo. UNC5114 teria distribuído uma variante de CraxsRAT disfarçada como atualização do Kropyva, sistema de controle de combate usado na Ucrânia.
Nas operações vinculadas à Coreia do Norte e ao Irã, o vetor de recrutamento é recorrente. APT45, também conhecido como Andariel, mirou entidades sul-coreanas de defesa, semicondutores e manufatura automotiva com SmallTiger. APT43, também chamado Kimsuky, teria usado infraestrutura que imitava entidades de defesa alemãs e norte-americanas para implantar a backdoor THINWAVE. UNC2970, associado ao Lazarus Group, conduziu a Operation Dream Job contra setores aeroespacial, de defesa e energia, além de usar ferramentas de inteligência artificial para reconhecimento de alvos. Do lado iraniano, UNC1549, também chamado Nimbus Manticore, mirou os setores aeroespacial, de aviação e defesa no Oriente Médio com MINIBIKE, TWOSTROKE, DEEPROOT e CRASHPAD, usando campanhas com aparência de oportunidade de emprego para induzir execução de malware ou captura de credenciais. UNC6446 usou aplicações de criação de currículo e teste de personalidade para distribuir malware personalizado a alvos aeroespaciais e de defesa nos Estados Unidos e no Oriente Médio.
Nas operações vinculadas à China, a atividade combina phishing, reconhecimento e abuso de infraestrutura intermediária. APT5, também chamado Keyhole Panda ou Mulberry Typhoon, mirou funcionários atuais e antigos de grandes contratadas aeroespaciais e de defesa com iscas de phishing personalizadas. UNC3236, associado ao Volt Typhoon, conduziu reconhecimento contra portais de login públicos de contratadas militares e de defesa da América do Norte, usando o framework de ofuscação ARCMAZE para ocultar origem. UNC6508 mirou uma instituição de pesquisa nos Estados Unidos no fim de 2023, explorando REDCap para inserir INFINITERED, malware personalizado com acesso remoto persistente e coleta de credenciais após interceptação do processo de atualização de software da aplicação. Também foram observadas redes ORB em reconhecimento contra alvos industriais de defesa, permitindo roteamento por redes residenciais ou comerciais e dificultando bloqueio, geofencing e atribuição.
A superfície exposta inclui mais do que redes corporativas tradicionais. O escopo alcança contratadas de defesa, fornecedores de manufatura, fabricantes de componentes, unidades militares, equipes de drones, usuários de aplicativos de mensagens, operadores de sistemas de campo, portais de login publicados na internet, aplicações como REDCap, dispositivos Android e endpoints Windows com clientes de mensageria instalados. Em organizações que atuam com defesa, aeroespacial, aviação, energia, semicondutores ou manufatura automotiva, o risco aumenta quando identidades corporativas, perfis profissionais e relações de recrutamento podem ser correlacionados publicamente.
O uso de ORBs amplia a dificuldade de filtragem baseada apenas em reputação de IP. Como esse tipo de rede pode encaminhar tráfego por conexões residenciais ou comerciais, o tráfego de reconhecimento pode se misturar a padrões aparentemente legítimos, contornar controles geográficos e permitir pré-posicionamento perto do perímetro lógico do alvo. A resiliência operacional também é relevante: quando nós são bloqueados, novos dispositivos podem ser adicionados à malha de retransmissão.
- Entidades de defesa que operam ou desenvolvem drones, veículos autônomos, defesa antidrones e sistemas de videovigilância.
- Usuários de Signal, Telegram, WhatsApp, RDP e aplicações Android usadas em contexto militar ou de campo.
- Portais de login públicos, dispositivos de borda, appliances e aplicações expostas, incluindo ambientes com
REDCap. - Processos de contratação, currículos, testes de personalidade e comunicações de recrutamento usados como isca.
A investigação defensiva deve cruzar identidade, endpoint, rede, mensageria e aplicações expostas. Em endpoints Windows, a presença de artefatos compatíveis com extração de dados de mensageria, execução de scripts em lote incomuns, arquivos RDP recebidos por canais externos e atalhos LNK dentro de arquivos compactados merece análise. Em Android, instalações fora de lojas confiáveis, permissões excessivas, coleta de contatos, acesso a armazenamento local e aplicativos apresentados como atualizações de ferramentas militares devem ser tratados como sinais de alto risco.
Em identidade e mensageria, mudanças inesperadas de dispositivos vinculados ao Signal, sessões novas em contas usadas por pessoal militar ou de defesa, autenticações incompatíveis com o padrão do usuário e recebimento de arquivos por aplicativos de mensagens devem ser correlacionados com eventos de EDR e proxy. Em rede, o uso de ORBs exige uma abordagem menos dependente de listas estáticas de bloqueio: picos de reconhecimento contra portais de login, variação incomum de ASN, padrões de baixa taxa e conexões vindas de redes residenciais para ativos sensíveis podem indicar atividade preparatória.
- Arquivos RDP, LNK ou compactados recebidos por mensageria e associados a temas de telecomunicações, DELTA, drones ou emprego.
- Novos dispositivos vinculados a contas de Signal sem justificativa operacional e mudanças de sessão próximas a interações suspeitas.
- Execução de scripts ou processos acessando diretórios de armazenamento de aplicativos de mensagens em endpoints Windows.
- Aplicativos Android disfarçados de atualização de sistemas de campo, com permissões para arquivos, contatos e dados locais.
- Reconhecimento contra portais públicos de contratadas de defesa vindo de redes residenciais, comerciais ou geograficamente incomuns.
- Eventos de atualização de software em aplicações expostas que antecedem persistência, acesso remoto ou coleta de credenciais.
A mitigação deve começar por ativos que unem exposição externa e valor operacional: portais de login, dispositivos de borda, appliances, aplicações publicadas, sistemas de recrutamento, ambientes de colaboração e endpoints usados por pessoal de defesa. Controles de MFA resistentes a phishing, revisão de dispositivos vinculados em mensageria, bloqueio de instalações Android fora de canais aprovados e hardening de RDP reduzem caminhos observados no conjunto de campanhas. Para usuários expostos a recrutamento ou contato direto, a validação de oportunidades profissionais, anexos, testes online e aplicações de currículo precisa ser tratada como controle de segurança, não apenas como orientação de conscientização.
No plano técnico, organizações devem combinar correção de aplicações expostas, inventário de fornecedores, rotação de credenciais quando houver indício de coleta, revisão de pipelines de atualização e monitoramento de anomalias em EDR. Como algumas campanhas procuram evitar ferramentas de detecção focando endpoints únicos, indivíduos específicos ou caminhos fora do EDR, a defesa precisa incluir logs de identidade, telemetria de mensageria, proxy, DNS, MDM e registros de aplicações. Para ORBs, controles baseados só em reputação tendem a ser insuficientes; a resposta deve priorizar comportamento, sensibilidade do ativo acessado, frequência de tentativas, origem variável e correlação com fases de reconhecimento.
- Revisar portais de login expostos, aplicar MFA resistente a phishing e investigar tentativas de autenticação contra contas de contratadas de defesa.
- Auditar dispositivos vinculados em aplicativos de mensagens e revogar sessões desconhecidas, especialmente em contas de pessoal militar, engenharia e fornecedores críticos.
- Restringir instalação de aplicativos Android fora de canais aprovados e monitorar permissões associadas a contatos, arquivos e armazenamento local.
- Inspecionar anexos RDP, LNK e arquivos compactados recebidos por mensageria, com quarentena e análise antes de qualquer abertura pelo usuário.
- Validar processos de atualização de aplicações expostas, incluindo
REDCap, para detectar interceptação, carga inesperada ou persistência após atualização. - Mapear fornecedores de manufatura e defesa com acesso a dados sensíveis, exigir telemetria mínima e preparar rotação de credenciais quando houver suspeita de coleta.
0 Comentários