APT Research: um pilar essencial para Threat Intelligence

Português

Inglês

Esse site utiliza cookies

Nós armazenamos dados temporariamente para melhorar a sua experiência de navegação e recomendar conteúdo de seu interesse. Ao utilizar nosso serviços você concorda com tal monitoramento.

18 de novembro de 2025

Expert Desk

APT Research: um pilar essencial para Threat Intelligence

Nos últimos anos, a área de Cyber Threat Intelligence teve um aumento significativo na sua relevância devido ao crescimento exponencial de ameaças cibernéticas que afetam os mais diversos setores e empresas, a coleta de IOC’s, análise de malwares e até mesmo o estudo de Ameaças Persistentes Avançadas (APT) se tornou uma atividade essencial dentro de CTI, e é justamente sobre isso que iremos falar hoje.

A atividade de APT Research é essencial para mapear a longo prazo as TTP’s, coletar IOC’s e analisar de forma estática e dinâmica o(os) malware(s) que fazem parte do toolkit daquele grupo, além de relatar os demais tipos de arquivos e tracejar uma linha evolutiva das suas tecnologias e correlações entre vítima e atacante em um determinado período X, entendendo o porquê daquele ataque ou da motivação do ataque direcionados à um setor.

Para isso, o framework de CTI “Extended Diamond Model” surge da necessidade de contextualizar por que os ataques acontecem e não apenas como, trazendo conceitos que nos auxiliam em atividade de APT Research do qual vamos destrinchar por partes.

Nas extremidades do triângulo do Modelo Diamante Extendido, temos:

Adversary – O agente ou grupo (APT, threat actor) que coordenou o ataque.
Infrastructure – Os meios técnicos utilizados (C2, domínios, proxies, etc.).
Capability – As ferramentas, exploits, malwares ou técnicas (Ex: exploit da CVE-2025-31324 usado pelo UNC6040.)
Victim – Entidade ou organização alvo.

Como Meta-features, temos os conceitos:

TimeStamp (Data e hora do ataque, auxiliando na comparação de TTP’s com o passar dos meses)
Phase (Qual fase da intrusão está relacionada na CyberKillChain e qual TTP do MITRE)
Result (Resultado da ação: exfiltração, persistência etc.)
Direction (Quem iniciou o ataque e quem foi vitimado)
Methodology (Modus Operandi: Reconnaissance, Phishing, etc.)
Resources (Infraestrutura ou artefatos usados)

Por fim, temos os dois Eixos, Technical Axis (representa a relação entre a capacidade e a infraestrutura do ataque) e Sociopolitical Axis, podendo ter relações diretas com fatores geopolíticos atuais, como conflitos no Leste-Europeu e até mesmo espionagem de estados-nação em serviços públicos de outros países, e também a relação entre atacante e vítima, explicando o porquê do ataque, aqui, nem sempre falamos de um APT ou grupo de Ransomware, mas podemos citar um funcionário demitido que decidiu se vingar da companhia.)

Com o auxílio deste framework em conjunto com os frameworks MITRE ATT&CK® e Cyber Kill Chain, o time de Threat Intelligence da iT.eam consegue desempenhar, ao longo de suas atuações, atividades concretas de APT Research, analisando não somente as ferramentas de um APT mas também suas relações e motivações que conseguimos coletar com o passar do tempo em infiltrações reais em canais de comunicação de Threat Actors, sejam eles em Telegram, ou em fóruns Undergrounds ou na DarkWeb, aonde se concentram os principais canais de anúncios, vendas, recrutamento e publicações de dumping (vazamento) dos dados de diversas empresas, realizados pelos Threat Actors (atores de ameaça). Permitindo assim uma correlação completa com informações valiosas de inteligência que servem como tomada de decisão em atividades de Threat Hunting e Detection Engineer que alinhadas, protegem nosso ambiente e o ambiente de nossos clientes, gerando assim, relatórios valiosos.

Nosso time interno possui em sua bagagem, o mapeamento de APT’s, como os casos do grupo de Ransomware Akira (que possuem diversas capacidades de um grupo de Ameaça Persistente Avançada, como evasão de defesas, movimentação lateral e exfiltração de dados silenciosa), como os cluster UNC6040, UNC6395 e o surgimento de APT’s-Like financeiros no cenário brasileiro.

Como exemplo real das atividades empregadas pelo time de Threat Intelligence da iT.eam, citaremos algumas análises realizadas no período de Abril a Outubro de 2025 dos grupos Scattered LAPSUS$ Hunters, que devido ao impacto global das suas atividades, foram alvos de agências internacionais como o FBI e Polícia Francesa. Grupo este, que fora responsável por afetar empresas como SalesForce, Google, Jaguar Land Rover, European Airlines, Gucci, Vivara e demais marcas de luxo, o grupo em questão, mapeou inclusive possibilidades de ataques em empresas telefônicas Brasileiras.

“Estamos recrutando funcionários/insiders dos seguintes:
Qualquer companhia provedora de serviços de telecomunicações (Claro, Telefonica, ATT e similares)
Grandes companhias de software/gaming (Microsoft, Apple, EA, IBM)
Callcenter/BPM…
Provedores de servidores…
Nota: não buscamos por dados, mas sim por funcionários que nos darão acesso a VPN ou rede CITRIX ou algum anydesk […]

Como análise temporal de TTP’s, o grupo empregava em 2024 campanhas de Vishing direcionados à funcionários de menor conhecimento técnico dentro das companhias, se passando por suporte técnico, além de SIM Swapping (SIM Card Swap, Technique T1451 – Mobile – MITRE ATT&CK®). Já em 2025 durante os ataques à SalesForce, houve uma notável mudança, mesmo envolvendo atividades de phishing, agora os T.As usam agentes de IA com voz, através de serviços de ligações com VoIP, incluindo Twilio, Google Voice e 3CX, para completar os ataques, os mesmos utilizaram as IA’s de voz como a Vapi e Bland, configurando inclusive, gênero, sotaque regional.

Quando separamos as TTP’s, podemos diferencias o grupo Lapsus$ como o responsável pelo acesso inicial com Vishing, e os ShinySpiders como autores de atividades como movimentação lateral e exfiltração. Com a análise das mensagens em seus canais oficiais, conseguimos identificar alguns dos seus membros, sendo um deles o ByteToBreach, um dos pentesters responsáveis pelas invasões em Companhias Aéreas e pela SalesForce.

Tendo uma das suas ultimas aparições no dia 27/10/2025, em um dumping de uma companhia ucraniana, já após prisões de membros do grupo.

Como parte das tecnologias utilizadas, os atores clonaram páginas reais da Okta para aplicação de phishings, onde foi possível a realização de pivoting de IOC’s do grupo, incluindo leves provocações disfarçadas ao FBI quando analisada as requisições.

A atividade de APT Research é um dos pilares fundamentais de um time de Threat Intelligence moderno, pois permite compreender e antecipar comportamentos adversários antes mesmo que eles se materializem em incidentes. Ao invés de depender apenas de vendors ou feeds públicos, o time da iT.eam atua de forma proativa, realizando pivoting de IOC’s, análise direta em ambientes underground e dark web, e correlacionando TTPs em tempo real com base em frameworks como MITRE ATT&CK® e Extended Diamond Model.

Essa abordagem garante que nossas detecções e relatórios sejam fruto de inteligência viva, construída a partir de observações reais, infiltradas e analisadas dentro do ecossistema adversário. Cada IOC pivotado, cada relação estabelecida e cada vetor mapeado contribuem para reduzir o “Time to Intel” (TTI) e ampliar nossa capacidade de antecipar ameaças emergentes que ainda não estão documentadas em feeds comerciais.

Mais do que reagir, a iT.eam investe em compreender a motivação por trás de cada ameaça, conectando o aspecto técnico ao sociopolítico, entendendo a origem, o porquê e o impacto potencial de cada operação maliciosa, este é o sexto sentido que uma equipe de CTI deve ter, trazendo informações que servem como contramedida para evitar um desastre cibernético.

Conheça mais sobre o trabalho da equipe de CTI da iT.eam!

Auxílio: https://www.ic3.gov/CSA/2025/250912.pdf