apt30-asean-espionage

# APT30 ASEAN Espionage > [!high] Espionagem de Longo Prazo contra a ASEAN - Operação de 10 Anos com Nexo Chinês > A campanha de espionagem do [[g0030-raspberry-typhoon]] (APT30) contra os membros da Associação de Nações do Sudeste Asiático (ASEAN) é uma das operações de espionagem cibernética mais longevas já documentadas: ativa por pelo menos uma década (2005-2015), com mais de 200 variantes de malware desenvolvidas e organizações em 10 países comprometidas. A FireEye revelou em 2015 que o grupo - com nexo chinês avaliado com alta confiança - tinha interesse especial em redes air-gapped de governos e organizações críticas da região. ## Visão Geral Em abril de 2015, a FireEye públicou um relatório abrangente revelando os detalhes de uma operação de espionagem chinesa que havia permanecido ativa e não detectada por mais de uma década. O [[g0030-raspberry-typhoon]] (rastreado pela FireEye como APT30, e pela Microsoft como Raspberry Typhoon) operou contra governos, empresas e jornalistas em toda a Ásia do Sul, Ásia do Sudeste e Índia desde pelo menos 2005. O que torna esta campanha singular na história da espionagem cibernética é a consistência extraordinária do grupo: ao longo de 10 anos, o [[g0030-raspberry-typhoon]] manteve práticamente o mesmo conjunto de ferramentas, táticas e infraestrutura - e mesmo assim permaneceu não detectado. Esse fato, por si só, evidência as lacunas de detecção e resposta a ameaças que existiam (e ainda existem) nas organizações da região. O alvo central era a própria ASEAN como instituição, com foco particular em coletar informações sobre reuniões de cúpula, disputas territoriais no Mar do Sul da China e a dinâmica interna do bloco. O grupo registrou domínios de C2 com temas relacionados à ASEAN, compilou malware específico ao redor de datas de reuniões da ASEAN, e usou documentos isca sobre disputas geopolíticas da região para entregar payloads a diplomatas e funcionários governamentais. A capacidade mais sofisticada do [[g0030-raspberry-typhoon]] era a habilidade de infectar redes air-gapped via unidades USB - uma funcionalidade construída no arsenal do grupo desde 2005, sugerindo que seu mandato incluía sistemas governamentais de máxima segurança desconectados da internet. ## Attack Flow e Operações ```mermaid graph TB A["📧 Spear Phishing Temático Documentos sobre ASEAN, disputas territoriais, relações India-China"] --> B["💾 Malware de Primeiro Estágio BACKBEND / GEMCUTTER downloaders CREAMSICLE downloader"] B --> C["🔧 Backdoor Principal BACKSPACE backdoor Comúnicação HTTP C2 Modo stealth para longa duração"] C --> D["💽 Propagação via USB SHIPSHAPE / SPACESHIP / FLASHFLOOD Infecção de unidades removíveis para cruzar air gaps"] D --> E["🕵️ Backdoor Avançado NETEAGLE backdoor C2 de dois estágios Priorização de alvos"] E --> F["📤 Exfiltração Longa Duração Dados políticos, militares e econômicos da região ASEAN"] ``` **Técnicas:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1091-replication-through-removable-media|T1091]] · [[t1052-001-exfiltration-over-usb|T1052.001]] ## Arsenal de Malware ```mermaid graph TB subgraph "Downloaders - Primeiro Estágio" BB["BACKBEND Downloader Entrega inicial de payloads"] GC["GEMCUTTER Downloader Variante alternativa"] CR["CREAMSICLE Downloader Terceira variante"] end subgraph "Backdoors Principais" BS["BACKSPACE Backdoor Duas variantes: ZJ e ZR C2 HTTP, modo stealth Hibernação para evadir detecção"] NE["NETEAGLE Backdoor Scout e Norton variants C2 de dois estágios Priorização de vítimas"] end subgraph "Propagação Air-Gap" SH["SHIPSHAPE Infecção de drives USB"] SP["SPACESHIP Coleta de dados de drives USB"] FF["FLASHFLOOD Extração de dados de máquinas air-gapped"] end BB --> BS GC --> NE BS --> SH NE --> SP SH --> FF ``` **Estatística:** Mais de 200 variantes de malware desenvolvidas ao longo da operação, com versionamento organizado e controle de qualidade sugerindo estrutura profissional de desenvolvimento. ## Alvos e Países Afetados | País / Região | Setor | Nível de Exposição | |--------------|-------|-------------------| | Malásia | Governo, Mídia | Confirmado | | Tailândia | Governo, Forças Armadas | Confirmado | | Vietnã | Governo, Telecomúnicações | Confirmado | | Filipinas | Governo, Energia | Confirmado | | Indonésia | Governo | Confirmado | | Singapura | Governo, Empresas | Confirmado | | Índia | Governo, Defesa | Confirmado | | EUA, Japão, Coreia do Sul | Empresas | Confirmado | ## Contexto Estratégico A operação está diretamente alinhada com os interesses estratégicos da China na região ASEAN, especialmente: - **Mar do Sul da China**: Coletar inteligência sobre posições negociadoras de países disputantes (Vietnã, Filipinas, Malásia) em relação a reivindicações territoriais chinesas - **Reuniões da ASEAN**: O grupo compilava malware específico para distribuição nas semanas anteriores a cúpulas da ASEAN - **Jornalistas e mídia**: Alvos jornalistas que cobriam temas sensíveis ao Partido Comunista Chinês (corrupção, economia, direitos humanos) - **Redes classificadas**: A funcionalidade de air-gap sugere interesse em documentos de alto nível de classificação ## Relevância para o Brasil e LATAM > [!low] Padrão Replicável - Sem Impacto Direto LATAM > A campanha ASEAN 2005-2015 do [[g0030-raspberry-typhoon]] não teve alvos diretos no Brasil ou América Latina. Contudo, o padrão operacional - espionagem de longo prazo contra organizações multilaterais e governos de economias emergentes - é diretamente relevante para organizações brasileiras que participam de fóruns multilaterais (BRICS, G20, OMC) ou possuem interesses geopolíticos que podem ser de interesse de atores estatais chineses. A técnica de air-gap via USB tem impacto direto para organizações com redes OT/ICS isoladas no Brasil. ## Detecção e Defesa - Implementar controles de segurança para dispositivos USB em redes classificadas e OT - Monitorar conexões HTTP suspeitas para domínios com temas ASEAN ou regionais - Revisar integridade de dispositivos removíveis antes de conectar em redes sensíveis - Usar [[m1042-disable-or-remove-feature-or-program|M1042]] para desabilitar execução automática de USB - Treinar funcionários sobre spear phishing com isca geopolítica ## Referências - [FireEye — APT30 and the Mechanics of a Long-Running Cyber Espionage Operation (2015)](https://www.mandiant.com/resources/blog/apt30-long-running-espionage) - [The Diplomat — Revealed: China Spies on India and ASEAN Member States (2015)](https://thediplomat.com/2015/04/revealed-china-spies-on-india-and-asean-member-states/) - [CFR — Targeting of Government Bodies in Australia and Southeast Asia (2020)](https://www.cfr.org/cyber-operations/targeting-of-government-bodies-in-australia-and-southeast-asia) - [[g0030-raspberry-typhoon]] - Grupo APT chinês responsável pela operação - [[t1091-replication-through-removable-media|T1091]] - Técnica de propagação via USB para air-gaps - [[t1566-001-spearphishing-attachment|T1566.001]] - Técnica primária de acesso inicial