# APT12 New York Times 2012 > [!high] Espionagem Chinesa na Maior Redação do Mundo - APT12 e o Hack do New York Times > Em outubro de 2012, o [[g0005-apt12]] - grupo APT com nexo na PLA (Exército Popular de Libertação da China) - comprometeu a rede interna do New York Times durante investigação jornalística sensível sobre a fortuna da família do Premier Wen Jiabao. A invasão, revelada públicamente em janeiro de 2013 após investigação da Mandiant, durou quatro meses e culminou no roubo de credenciais de todos os funcionários do jornal. O caso se tornou referência histórica de espionagem estatal contra veículos de mídia independente. ## Visão Geral Em outubro de 2012, durante o período em que o New York Times preparava uma reportagem investigativa sobre a acumulação de riqueza pela família do Premier Wen Jiabao, o jornal começou a detectar atividade anômala em sua rede. A públicação contratou a Mandiant para investigar e, ao longo de quatro meses, os pesquisadores documentaram um comprometimento persistente e metódico atribuído ao [[g0005-apt12]] - grupo rastreado também como Numbered Panda e IXESHE, com ligações documentadas à Unidade 61398 do PLA. A métodologia do [[g0005-apt12]] neste caso foi elegantemente simples: o grupo utilizou spear phishing direcionado a funcionários específicos do jornal, usando o exploit CVE-2012-0158 (vulnerabilidade de estouro de heap no Microsoft Office) para entregar o backdoor RIPTIDE. Uma vez estabelecido o foothold inicial, os atacantes operaram com paciência, movendo-se lateralmente pela rede por meses e exfiltrando dados sem disparar alertas de segurança. O alvo central da operação era verificar quem dentro do NYT havia fornecido informações para a reportagem sobre Wen Jiabao - uma operação de contrassegurança destinada a identificar fontes jornalísticas dentro da China que pudessem ser comprometidas, coagidas ou silenciadas pelo regime. As credenciais comprometidas de todos os 53 funcionários do jornal representavam um mapa completo dos acessos internos, potencialmente expondo fontes confidenciais. A revelação pública em janeiro de 2013 foi estratégicamente importante: o NYT decidiu públicar os detalhes do ataque como reportagem, transformando a invasão em cobertura jornalística - uma forma de denúncia pública que expôs as capacidades do [[g0005-apt12]] e forçou o grupo a retooling completo de sua infraestrutura. ## Attack Flow da Operação ```mermaid graph TB A["Preparação<br/>Investigação do NYT sobre Wen Jiabao<br/>Spear phishing preparado para jornalistas"] --> B["Acesso Inicial<br/>CVE-2012-0158 via Office<br/>Documento malicioso entregue por email<br/>Execução na abertura do anexo"] B --> C["Foothold<br/>RIPTIDE backdoor instalado<br/>Comúnicação HTTP C2<br/>Persistência via registro Windows"] C --> D["Reconhecimento Interno<br/>Mapeamento de usuários e permissões<br/>Identificação de jornalistas específicos<br/>Acesso a sistemas de email corporativo"] D --> E["Movimento Lateral<br/>53 contas de funcionários comprometidas<br/>Acesso a sistemas de correspondência interna<br/>Busca por comúnicações com fontes"] E --> F["Exfiltração<br/>Credenciais de todos os funcionários<br/>Dados de comúnicação jornalística<br/>Operação ativa por 4 meses"] ``` **Técnicas:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1078-valid-accounts|T1078]] · [[t1041-exfiltration-over-c2-channel|T1041]] ## Linha do Tempo ```mermaid timeline title APT12 - New York Times 2012-2013 Oct 2012 : NYT publica reportagem sobre Wen Jiabao : APT12 inicia comprometimento Nov 2012 : Atividade anômala detectada : Mandiant contratada para investigação Dec 2012 : 53 contas comprometidas confirmadas : RIPTIDE backdoor identificado Jan 2013 : NYT publica revelação pública do hack : Mandiant publica análise do APT12 : APT12 inicia pausa de retooling Mid-2013 : APT12 retoma operações com HIGHTIDE : Nova infraestrutura C2 implantada ``` ## CVE Explorada | CVE | CVSS | Produto | Detalhe | |-----|------|---------|---------| | [[cve-2012-0158\|CVE-2012-0158]] | 9.3 | Microsoft Office | Heap overflow ao processar arquivos .xls maliciosos - execução de código arbitrário | ## Impacto e Significado O hack do NYT por APT12 é considerado um ponto de inflexão na documentação de espionagem estatal contra mídia independente: - **53 contas comprometidas**: credenciais de toda a equipe jornalística exposta - **Fontes jornalísticas em risco**: o objetivo declarado era identificar quem forneceu informações ao NYT na China - **Resposta histórica**: o NYT públicou o hack como reportagem - jornalismo denunciando espionagem sofrida pelo próprio jornal - **Efeito de retooling**: a exposição pública forçou o [[g0005-apt12]] a uma pausa operacional de ~150 dias e desenvolvimento de nova toolchain (RIPTIDE → HIGHTIDE) ## Padrão de Retooling Após Exposição A resposta do [[g0005-apt12]] à exposição pública de 2013 estabeleceu um padrão documentado para grupos APT: 1. **Pausa imediata** (~150 dias) após exposição pública pela Mandiant 2. **Abandono de infraestrutura comprometida**: servidores C2 e domínios anteriores descartados 3. **Evolução do backdoor**: RIPTIDE substituído por HIGHTIDE (backdoor HTTP customizado com protocolo diferente) 4. **Retomada cautelosa**: operações reiniciadas em meados de 2013 com nova toolchain completa Este padrão - pausa, retool, retomada - seria documentado novamente em 2014 quando o [[g0005-apt12]] foi exposto pela Arbor Networks durante campanhas contra Taiwan. ## Relevância para o Brasil e LATAM > [!low] Padrão de Targeting de Mídia - Risco Indireto para Jornalismo LATAM > O hack do NYT pelo [[g0005-apt12]] não teve impacto direto no Brasil ou América Latina. Contudo, o padrão operacional - espionagem direcionada a veículos de mídia investigando líderes de governos estrangeiros - é diretamente relevante para organizações jornalísticas brasileiras que cobrem China, Rússia ou outros governos autoritários. A técnica de CVE-2012-0158 via documentos Office foi amplamente usada em campanhas contra jornalistas e ONGs na LATAM por grupos APT e atores menores ao longo de 2013-2016. ## Detecção e Defesa - Monitorar comúnicações HTTP com padrão de User-Agent incomum (assinatura RIPTIDE/HIGHTIDE) - Implementar análise de comportamento de processos filhos de aplicações Office (detecta exploit de documentos maliciosos) - Aplicar patches do Microsoft Office com prioridade - CVE-2012-0158 foi explorado por múltiplos grupos APT chineses simultaneamente - Usar DLP (Data Loss Prevention) em servidores de email corporativo para detectar exfiltração de credenciais - Treinar redações sobre spear phishing direcionado - atacantes pesquisam nomes e funções específicas de jornalistas antes do ataque ## Referências - [The New York Times — Hackers in China Attacked The Times for Last 4 Months (Jan 2013)](https://www.nytimes.com/2013/01/31/technology/chinese-hackers-infiltrate-new-york-times-computers.html) - [Mandiant — APT12: Riptide to Hightide (Aug 2014)](https://www.mandiant.com/resources/blog/apt12-riptide-to-hightide) - [Arbor Networks — IXESHE (2012)](https://www.arbornetworks.com/blog/asert/ixeshe-an-apt-campaign) - [[g0005-apt12]] - Grupo chinês responsável pela operação - [[riptide-backdoor]] - Backdoor HTTP principal usado nesta campanha - [[cve-2012-0158|CVE-2012-0158]] - Exploita utilizado para acesso inicial via documentos Office - [[t1566-001-spearphishing-attachment|T1566.001]] - Técnica primária de acesso inicial - [[t1078-valid-accounts|T1078]] - Credenciais comprometidas de 53 funcionários