Nomes divertidos, ameaça real. Enquanto o mundo debate geopolítica, o APT28 grupo de espionagem cibernética vinculado à inteligência militar russa (GRU), também conhecido como Fancy Bear, Sofacy e STRONTIUM aperfeiçoa silenciosamente seu arsenal. Em março de 2026, a firma israelense de threat intelligence ClearSky Cyber Security revelou uma nova campanha ativa contra organizações ucranianas, usando duas famílias de malware até então completamente desconhecidas pela comunidade: BadPaw e MeowMeow.
O alvo imediato são organizações de governo e energia na Ucrânia. Mas o padrão técnico dessa campanha, seu nível de sofisticação e as lacunas de detecção que ela expõe são um alerta direto para qualquer organização que ainda acredita que ameaças de estado são um problema de outro país.
Este artigo examina a fundo como esse ataque funciona, mapeia suas técnicas ao framework MITRE ATT&CK e explica por que o conceito de Adversary Exposure Validation, colocado em prática pela SCYTHE é hoje a resposta mais madura que uma equipe de segurança pode dar a esse tipo de ameaça.
1. Quem é o APT28 — e por que você deveria se importar
O APT28 não é um grupo de hackers oportunistas. É uma unidade de inteligência militar do governo russo especificamente da GRU, Diretoria Central de Inteligência das Forças Armadas da Federação Russa. Ativo pelo menos desde 2007, o grupo é responsável por alguns dos ataques cibernéticos mais impactantes da última década.
Seu histórico fala por si: interferência nas eleições presidenciais americanas de 2016 com a invasão ao Comitê Nacional Democrata (DNC), ataques a agências governamentais europeias, comprometimento de infraestruturas críticas em países da OTAN e campanhas persistentes contra a Ucrânia desde muito antes de 2022.
O que torna o APT28 particularmente perigoso do ponto de vista operacional é a combinação entre recursos de estado tempo, orçamento, inteligência humana — e capacidade técnica de desenvolvimento de ferramentas customizadas. BadPaw e MeowMeow são o exemplo mais recente dessa combinação: dois malwares desenvolvidos do zero, projetados para contornar defesas modernas e permanecer invisíveis por tempo indeterminado.
Identidades do APT28
Fancy Bear | Sofacy | STRONTIUM | BlueDelta | Forest Blizzard | Pawn Storm | Sednit | TA422 | Iron Twilight
Afiliação: GRU — Diretoria Central de Inteligência das Forças Armadas da Federação Russa
Ativo desde: pelo menos 2007 | Alvos: governos, militares, energia, infraestrutura crítica, organizações políticas
2. Anatomia do ataque — cadeia técnica completa
A campanha BadPaw/MeowMeow é um exemplo de operação multi-estágio madura: cada fase é projetada para parecer legítima, cada componente tem mecanismos de autoproteção e o conjunto inteiro só se ativa quando todas as condições do ambiente alvo são satisfeitas. Vamos percorrer cada etapa.
Fase 1 — Entrega: o e-mail que parece oficial
O ataque começa com um e-mail de spearphishing enviado a partir de endereços ukr[.]net provedor ucraniano de e-mail legítimo, previamente abusado em campanhas russas e, portanto, familiar e confiável para as vítimas-alvo. O e-mail contém um link que, ao ser clicado, dispara duas ações simultâneas: primeiro, carrega um pixel de rastreamento hospedado em infotrackerstatistic[.]live, notificando os operadores de que a isca funcionou; segundo, redireciona a vítima via link encurtado (cutt[.]ly) para download de um arquivo ZIP.
O arquivo ZIP contém um único arquivo apresentado com extensão .html mas que, na realidade, é um HTA (HTML Application), um formato Windows que permite execução de código com privilégios elevados sem as restrições de um navegador padrão.
Fase 2 — Evasão de sandbox: o malware que sabe onde está
Antes de fazer qualquer coisa maliciosa, o HTA realiza uma verificação inteligente de ambiente. Ele consulta a chave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate para estimar a “idade” do sistema operacional. Se o SO foi instalado há menos de dez dias forte indicativo de um ambiente de sandbox ou análise forense o malware simplesmente aborta a execução sem deixar rastros.
Ao mesmo tempo em que faz a verificação, o HTA exibe um documento de isca escrito em ucraniano, aparentemente oficial, tratando de apelos sobre travessia de fronteira contexto geopolítico perfeitamente calibrado para o momento atual e para o perfil das vítimas-alvo.
Fase 3 — BadPaw: o loader que se esconde dentro de uma imagem
Se o ambiente passar nas verificações, o HTA executa um VBScript que localiza o arquivo ZIP baixado e extrai dois arquivos: o próprio script VBS e uma imagem PNG aparentemente comum. O VBScript então aplica esteganografia sobre a imagem: extrai o payload malicioso embutido nos dados da PNG e o salva em disco como o loader BadPaw.
O BadPaw é um loader desenvolvido em .NET e protegido com .NET Reactor, ferramenta comercial de ofuscação que torna a engenharia reversa extremamente difícil. Seu comportamento varia dependendo de como é executado: sem o parâmetro correto (-v), exibe uma interface gráfica inócua com a imagem de um gato e um botão “MeowMeow” que, ao ser clicado, apenas exibe a mensagem “Meow Meow Meow” um decoy funcional projetado para enganar analistas de malware. Com o parâmetro correto, conecta-se ao servidor de C2 para baixar o estágio final.
Uma tarefa agendada é criada simultaneamente para garantir que o VBScript seja reexecutado após reinicializações do sistema mecanismo de persistência que sobrevive a reinicializações sem necessidade de alterações no registro.
Fase 4 — MeowMeow: o backdoor que pergunta antes de agir
O MeowMeow é o payload final: um backdoor completo com quatro camadas independentes de proteção. Requer parâmetro de runtime específico para ativar o código malicioso, usa .NET Reactor para dificultar análise estática, verifica se está rodando em um sistema real (não virtualizado) e monitora continuamente se ferramentas como Wireshark, ProcMon, OllyDbg e Fiddler estão ativas. Se qualquer um desses indicadores de análise for detectado, o MeowMeow encerra a execução imediatamente.
Uma vez em operação, o MeowMeow oferece ao atacante um conjunto de capacidades de acesso remoto persistente: execução arbitrária de comandos PowerShell, operações completas de sistema de arquivos (leitura, gravação, exclusão), keylogging silencioso, dumping dos hives SAM, SYSTEM e SECURITY do registro para extração de credenciais, descoberta de rede e processos, compressão e staging de arquivos para exfiltração, e comunicação C2 cifrada via HTTPS com o servidor virtualdailyplanner[.]pro.
Detalhe revelador: pesquisadores identificaram strings em russo no código-fonte do MeowMeow incluindo uma indicando o tempo necessário para o malware atingir estado operacional. Isso representa ou um erro de OPSEC do atacante, que esqueceu de remover artefatos do ambiente de desenvolvimento, ou simplesmente descuido nenhuma das duas hipóteses é tranquilizadora.
3. Mapeamento MITRE ATT&CK — 13 técnicas em 8 táticas
A campanha BadPaw/MeowMeow cobre de forma abrangente o MITRE ATT&CK Enterprise Matrix, atravessando oito táticas distintas de Reconhecimento a Exfiltração. A tabela abaixo mapeia cada técnica identificada na cadeia de ataque:
| Tática | Técnica | ID | Descrição |
| Reconnaissance | Phishing via link rastreado + pixel de tracking | T1566.002 | E-mail ukr[.]net com link curto cutt[.]ly e pixel de notificação ao clicar |
| Initial Access | System Binary Proxy Execution: Mshta | T1218.005 | Arquivo HTA mascarado como .html executa código sem disparar antivírus |
| Execution | Command & Scripting: Visual Basic | T1059.005 | VBScript extrai payload do PNG e orquestra toda a cadeia de execução |
| Execution | Command & Scripting: PowerShell | T1059.001 | MeowMeow executa comandos remotos via PowerShell no endpoint comprometido |
| Persistence | Scheduled Task / Job | T1053.005 | Tarefa agendada criada para re-executar VBScript após reinicialização |
| Defense Evasion | Deobfuscate / Decode via Steganografia | T1140 | Payload BadPaw oculto dentro de imagem PNG usando esteganografia |
| Defense Evasion | Virtualization / Sandbox Evasion: System Checks | T1497.001 | Verifica registro e ferramentas como Wireshark, ProcMon, OllyDbg, Fiddler |
| Defense Evasion | Obfuscated Files (.NET Reactor) | T1027 | Ambos os malwares protegidos com .NET Reactor para dificultar engenharia reversa |
| Credential Access | OS Credential Dumping: SAM / SYSTEM / SECURITY | T1003.002 | Exfiltração dos três hives do registro para captura de credenciais locais |
| Discovery | Network Service / Process / System Info Discovery | T1046 / T1057 / T1082 | Mapeamento completo de serviços, processos e configuração do sistema |
| Collection | Keylogging + Staging de Arquivos | T1056 / T1560.001 | Captura de teclas e compressão de arquivos para exfiltração |
| C2 | Encrypted Channel: HTTPS | T1573 | Comunicação C2 via HTTPS com servidor virtualdailyplanner[.]pro |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | Dados coletados enviados pelo mesmo canal C2 já estabelecido |
Este mapeamento é relevante não apenas como documentação da ameaça, mas como ferramenta de priorização defensiva. Cada técnica na tabela representa uma pergunta concreta para sua equipe: nossos controles detectam isso? Onde estão os gaps?
4. Da threat intel à evidência: Adversary Exposure Validation com SCYTHE
Conhecer a anatomia de um ataque é o primeiro passo. O segundo e mais crítico para operações de segurança maduras é saber se seus controles atuais detectariam e bloqueariam cada uma dessas técnicas no seu ambiente, com as ferramentas que você tem hoje.
É aqui que o conceito de Adversary Exposure Validation muda fundamentalmente a conversa. Em vez de perguntar “temos as ferramentas certas?”, a pergunta passa a ser: “nossas ferramentas estão funcionando agora, contra esta ameaça específica?”
Como a emulação foi conduzida
A campanha APT28 BadPaw/MeowMeow foi importada para a plataforma SCYTHE como perfil de ameaça Adversary-Apt28-2026-03-BadPaw, com tags de setor (Energia, Governo), todas as TTPs mapeadas automaticamente a partir dos rtags do script e sequência de ataque construída como grafo numerado de etapas no editor visual da plataforma.
Cada etapa da cadeia da inicialização do C2 HTTPS, passando pelos loaders de capacidade, pela fase de Discovery, Credential Access, Collection, até a Exfiltração foi executada de forma controlada em ambiente isolado. O resultado foi um mapa preciso de quais técnicas foram bloqueadas e onde existem lacunas reais de detecção.
O que os testes revelaram: gaps críticos
| Técnica | ID ATT&CK | Status | Impacto se não detectado |
| Keylogging | T1056 | GAP | Captura silenciosa de senhas, MFA tokens e dados sensíveis sem qualquer alerta |
| Process Discovery | T1057 | GAP | Mapeamento completo de processos ativos, revelando aplicações críticas ao atacante |
| Credential Dumping (SAM) | T1003.002 | GAP | Extração de hashes de credenciais locais do registro do Windows |
| Scheduled Task Persistence | T1053.005 | BLOQUEADO | Criação de tarefa agendada detectada e bloqueada pelos controles |
| PowerShell Execution | T1059.001 | BLOQUEADO | Execução de PowerShell monitorada e contida nos testes de emulação |
| HTTPS C2 Communication | T1573 | GAP | Tráfego C2 cifrado não identificado como malicioso pelo controle de rede |
O dado que não pode ser ignorado:
Keylogging (T1056) e Process Discovery (T1057) não geraram nenhum alerta nos controles testados. Isso significa que um atacante real com MeowMeow instalado poderia capturar senhas, tokens MFA e mapear toda a infraestrutura visível pelo endpoint — sem que qualquer ferramenta de segurança percebesse.
Esses gaps não são hipotéticos. São lacunas reais, mensuráveis, documentadas — que em um ambiente de produção representariam vetores de comprometimento total disponíveis para o atacante. A diferença entre descobri-los em um exercício de emulação adversarial ou em um incidente real é, literalmente, a diferença entre uma remediação planejada e uma resposta de crise.
5. Recomendações práticas para equipes de segurança
Com base na cadeia técnica e nos resultados de emulação adversarial, estas são as ações prioritárias para equipes que querem reduzir exposição a ameaças do perfil APT28:
Detecção e monitoramento
- Monitore execuções de exe originadas de diretórios de download do usuário que criem imediatamente artefatos VBS ou PNG em AppData\Local — padrão direto da Fase 2 desta campanha.
- Crie alertas para criação de Scheduled Tasks que referenciem caminhos VBScript incomuns, especialmente variações de UpdateHelper.vbs.
- Implemente detecção de esteganografia: alertas para scripts que leem arquivos de imagem e escrevem saída com características de PE (Portable Executable).
- Adicione ao seu SIEM queries para processos executados com o parâmetro isolado “-v” — assinatura específica desta campanha.
- Monitore DNS e proxy para contatos com virtualdailyplanner[.]pro e os endpoints /getcalendar, /eventmanager e /planneractivate.
Hardening de endpoint
- Desabilite Windows Script Host e exe em endpoints que não requerem essa funcionalidade — elimina toda a Fase 2 desta cadeia.
- Aplique AppLocker ou WDAC para restringir execução de arquivos .NET não assinados em diretórios de usuário.
- Garanta que todos os sistemas estejam com patches atualizados, especialmente contra CVE relacionados ao MSHTML Framework (CVE-2026-21513 foi explorado ativamente pelo APT28 em campanhas de 2026).
- Implemente controles de detecção de keylogging a nível de kernel — a lacuna mais crítica identificada nos testes de emulação.
Processos e cultura
- Realize simulações de phishing contextualizado regularmente — não genéricas, mas baseadas em temas geopolíticos e operacionais relevantes para seu setor.
- Instrua equipes a verificar extensões reais de arquivos antes de abrir: o HTA desta campanha se apresentou como .html — uma diferença que treinamento detecta.
- Implemente um programa de Adversary Exposure Validation contínua, convertendo campanhas como esta em exercícios regulares de emulação — não eventos pontuais, mas validação sistemática dos controles ao longo do tempo.
- Estabeleça procedimentos claros de resposta a incidentes para evidências de keylogging ou credential dumping — técnicas com maior impacto e menor taxa de detecção identificadas nesta análise.
6. A pergunta que todo líder deve fazer ao seu time agora
Esta campanha representa um padrão de maturidade operacional que deve preocupar qualquer CISO, CTO ou board executivo. Não porque a Ucrânia é alvo mas porque as técnicas são documentadas, reproduzíveis e aplicáveis a qualquer organização com ativos de valor para um adversário motivado.
Threat intelligence sem validação contínua é leitura. Ferramentas sem testes regulares contra ameaças reais são investimento sem evidência de retorno. E exercícios de Red Team anuais são fotografias não filmagens do estado real das suas defesas.
A pergunta certa não é: “temos as ferramentas certas?”
A pergunta certa é: “nossas ferramentas detectariam esta cadeia de ataque específica, hoje, no nosso ambiente, com a configuração que temos agora?”
Se a resposta for “não sabemos” essa é a lacuna mais urgente a fechar.
Adversary Exposure Validation não é um produto. É uma abordagem operacional: converter threat intelligence em emulação controlada, medir os resultados contra os seus controles reais e usar as lacunas identificadas para priorizar remediação com evidência, não com intuição.
O APT28 não vai esperar você terminar sua análise de risco anual.
Quer saber se seus controles detectariam o APT28 hoje?
Posso mostrar como a SCYTHE emula esta campanha no seu ambiente e onde estão suas lacunas reais de detecção — antes que um atacante as encontre. Fale diretamente comigo:
LinkedIn: linkedin.com/in/filipipires | Análise técnica completa: scythe.io/library/apt28-badpaw-meowmeow
Sobre o autor
Filipi Pires é Head of Technical Advocacy na SCYTHE e especialista em Cybersecurity com mais de uma década de experiência em threat intelligence, adversarial emulation e validação de controles de segurança. É colunista do Café com Bytes e palestrante em eventos de segurança no Brasil e no exterior.
Palavras-chave: APT28, BadPaw, MeowMeow, SCYTHE, Adversary Exposure Validation, Adversary Emulation, threat intelligence, espionagem cibernética 2026, MITRE ATT&CK, validação de controles de segurança, ClearSky, Fancy Bear, GRU, malware .NET,
