# C0011 - Transparent Tribe contra Universidades Indianas > [!info] C0011 - Transparent Tribe Mira Estudantes Universitarios Indianos > **Período:** Dezembro 2021 - Julho 2022 | **Ator:** [[g0134-transparent-tribe|Transparent Tribe]] (APT36, nexo Paquistao) > **Alvos:** Estudantes universitarios na India - mudança significativa de targeting > **Técnicas-chave:** Spearphishing com link e anexo, [[crimson|Crimson RAT]] via VBA ## Visão Geral C0011 foi uma campanha de espionagem cibernetica conduzida pelo [[g0134-transparent-tribe|Transparent Tribe]] (também conhecido como APT36, MYTHIC LEOPARD - grupo atribuido ao Paquistao) contra estudantes de universidades e faculdades na India entre dezembro de 2021 e pelo menos julho de 2022. Esta campanha representou uma mudança estratégica notavel: o [[g0134-transparent-tribe|Transparent Tribe]] historicamente focava em pessoal do governo indiano, militares e funcionarios de think tanks. A expansao para o setor academico indica uma evolução no escopo de coleta de inteligência do grupo - possívelmente visando acesso a pesquisa academica sensivel (tecnologia de defesa, relacoes internacionais, estudos geopoliticos) ou ao recrutamento de fontes humanas de longo prazo entre estudantes com perspectivas de carreira em servico público. O [[g0134-transparent-tribe|Transparent Tribe]] utilizou o [[crimson|Crimson RAT]] - um RAT .NET proprietario do grupo que permite acesso remoto, captura de telas, keylogging, roubo de arquivos e exfiltração de dados. A entrega foi realizada via spearphishing com links maliciosos e documentos com macros VBA maliciosas. ## Attack Flow ```mermaid graph TB A["📧 Reconhecimento<br/>Identificação de estudantes<br/>universitarios alvo na India"] --> B["🎣 Spearphishing<br/>Emails com links maliciosos<br/>ou documentos com macro VBA"] B --> C["💻 Execução<br/>Script VBS/VBA executa<br/>downloader de payload"] C --> D["📥 Entrega do RAT<br/>Crimson RAT carregado<br/>em memoria do sistema"] D --> E["🔑 Acesso Remoto<br/>Crimson RAT estabelece<br/>canal C2 criptografado"] E --> F["📂 Coleta de Dados<br/>Captura telas, keylog,<br/>exfiltra documentos"] F --> G["📡 Exfiltração<br/>Dados enviados ao C2<br/>do Transparent Tribe"] ``` ## Timeline da Campanha ```mermaid timeline title C0011 - Linha do Tempo Dez 2021 : Inicio de campanha contra estudantes universitarios : Mudanca de targeting de governo/militar para academico Ján-Mar 2022 : Distribuição ativa de Crimson RAT : Via spearphishing com anexos e links maliciosos Abr-Jun 2022 : Campanha ainda ativa : Pesquisadores da Cisco Talos identificam a campanha Jul 2022 : Publicacao do relatorio Talos sobre a campanha : Status ainda ativo na data de publicacao ``` ## Técnicas Utilizadas | Técnica | ID | Uso na Campanha | |---------|-----|-----------------| | Upload Malware | [[t1608-001-upload-malware\|T1608.001]] | Crimson RAT hospedado em infraestrutura controlada pelo grupo | | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links maliciosos para download de payload em emails de phishing | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office com macros VBA maliciosas como anexos | | Malicious Link | [[t1204-001-malicious-link\|T1204.001]] | Usuarios redirecionados a sites de download de malware | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Abertura de documentos Office ativava carga maliciosa | | Visual Basic | [[t1059-005-visual-basic\|T1059.005]] | Scripts VBA em documentos Office para execução inicial | | Acquire Domains | [[t1583-001-domains\|T1583.001]] | Dominios registrados para hospedagem e C2 | | Digital Certificates | [[t1587-003-digital-certificates\|T1587.003]] | Certificados para comunicação C2 e credibilidade | ## Software Utilizado - [[crimson|Crimson RAT]] - RAT .NET proprietario do [[g0134-transparent-tribe|Transparent Tribe]] com capacidades de keylogging, captura de tela, exfiltração de arquivos e acesso remoto completo ## Relevância LATAM/Brasil Embora focada na India, a campanha tem relevância indireta: - O [[g0134-transparent-tribe|Transparent Tribe]] tem presenca documentada em operações diplomaticas na LATAM - embaixadas e consulados indianos no Brasil e outros paises da regiao sao alvos potenciais - Universidades brasileiras com programas de relacoes internacionais, estudos de defesa ou parceiras com instituicoes indianas devem estar cientes do targeting academico do APT36 - O padrao de distribuição do [[crimson|Crimson RAT]] via documentos Office com macro e identico ao de muitos grupos que operam na LATAM - as mesmas defesas se aplicam - A mudança de targeting do Transparent Tribe (de governo para academico) e um aviso: outros grupos de estado-nacao podem adotar estratégia similar contra universidades brasileiras com pesquisa sensivel ## Mitigacoes Recomendadas - Bloquear execução automatica de macros em documentos Office recebidos por email - Habilitar politica de ASR (Attack Surface Reduction) no Microsoft Defender - Treinar estudantes e funcionarios academicos sobre reconhecimento de spearphishing - Monitorar conexoes de saida para dominios recentemente registrados ## Referências - [MITRE ATT&CK - C0011](https://attack.mitre.org/campaigns/C0011) - [Cisco Talos - Transparent Tribe University Targeting](https://blog.talosintelligence.com/)