# Heartbeat Campaign > [!medium] > Campanha de espionagem cibernética atribuída ao grupo chinês **Tonto Team** (também chamado HeartBeat APT), ativa entre 2009 e 2012, direcionada ao governo sul-coreano, forças militares, partidos políticos e meios de comunicação. O grupo recebeu o nome "HeartBeat" de um dos seus RATs customizados, que utilizava um mecanismo de heartbeat para verificação de conectividade com o C2. ## Visão Geral O Tonto Team, também identificado como Bronze Butler ou CactusPete, é um grupo APT com nexo com o Exército de Libertação Popular (PLA) da China, associado à Unidade 65016 baseada em Shenyang. A campanha Heartbeat representa uma das primeiras operações documentadas do grupo, direcionada ao ambiente político e militar sul-coreano durante um período de crescente tensão na Península Coreana. A campanha utilizou documentos maliciosos como vetor de infecção inicial - arquivos Word, PowerPoint e HWP (formato Hangul, popular na Coreia do Sul) com macros maliciosas ou exploits embedded. Os documentos eram enviados via spear-phishing para alvos de alto valor em partidos políticos sul-coreanos, agências governamentais, mídia e instalações militares. O tema dos documentos isca variava de assuntos militares norte-coreanos a questões políticas internas. O HeartBeat RAT, que deu nome à campanha, estabelecia persistência via chaves de registro Run do Windows e comúnicava-se com servidores C2 usando HTTP com um mecanismo de "heartbeat" - verificações periódicas de conectividade que também serviam para receber comandos. Os códigos de campanha internos do malware incluíam timestamps, permitindo aos pesquisadores da Trend Micro rastrear a linha do tempo das operações. Embora a campanha Heartbeat não tenha impacto direto documentado na América Latina, o [[g0131-tonto-team]] evoluiu consideravelmente após 2012, expandindo seu escopo para atacar organizações em outros países asiáticos, Rússia e Europa. A análise desta campanha historicamente importante fornece contexto para as capacidades e métodologias do grupo que podem, no futuro, se expandir para outras regiões. ## Attack Flow ```mermaid graph TB A["📧 Spear-phishing<br/>Documentos Word/HWP<br/>Temas políticos/militares"] --> B["💥 Execução de Macro/Exploit<br/>Documento malicioso aberto<br/>pela vítima sul-coreana"] B --> C["🔧 Instalação do HeartBeat RAT<br/>Cópia para diretório do sistema<br/>Registro Run para persistência"] C --> D["📡 Heartbeat C2<br/>HTTP polling periódico<br/>para servidor C2"] D --> E["🔍 Reconhecimento e Coleta<br/>Enumeração de arquivos<br/>Captura de documentos sensíveis"] E --> F["📤 Exfiltração<br/>Documentos governamentais<br/>e militares sul-coreanos"] ``` **Legenda:** [[T1566-002-spearphishing-link|T1566.002]] · [[T1547-001-boot-or-logon-autostart-execution-registry-run-keys|T1547.001]] · [[T1071-001-web-protocols|T1071.001]] ## Cronologia ```mermaid timeline title Heartbeat Campaign - Linha do Tempo 2009 : Primeiras atividades documentadas do Tonto Team : Início de operações de espionagem contra Coreia do Sul 2009-2012 : Campanha HeartBeat ativa : Alvos: governo, militares, partidos políticos, mídia 2012 : Trend Micro publica análise da campanha HeartBeat : Códigos de campanha revelam timestamps de operações 2013+ : Tonto Team evolui - novos alvos Japão e Rússia : Ferramentas atualizadas, novos RATs desenvolvidos 2019-2020 : Grupo retorna com ataques a organizações de saúde : COVID-19 como isca documental 2021 : CISA/NSA identificam Tonto Team atacando entidades de defesa dos EUA ``` ## TTPs Principais | Tática | Técnica | ID | Detalhe | |--------|---------|----|---------| | Acesso Inicial | Spear-phishing com Anexo | [[T1566-002-spearphishing-link\|T1566.002]] | Documentos Word/HWP maliciosos | | Execução | Arquivo Malicioso | [[T1204-002-malicious-file\|T1204.002]] | Usuário abre documento isca | | Execução | Windows Command Shell | [[T1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via CMD | | Persistência | Registry Run Keys | [[T1547-001-boot-or-logon-autostart-execution-registry-run-keys\|T1547.001]] | HeartBeat RAT autostart | | Descoberta | File and Directory Discovery | [[T1083-file-and-directory-discovery\|T1083]] | Enumeração de documentos alvo | | C2 | Protocolos Web | [[T1071-001-web-protocols\|T1071.001]] | HTTP heartbeat polling | ## Alvos e Impacto - **Partidos políticos sul-coreanos**: documentos internos e comúnicações comprometidos - **Agências governamentais**: ministérios e órgãos de segurança nacional - **Mídia sul-coreana**: jornais e emissoras de TV - **Instalações militares**: informações sobre capacidades e posicionamento - Duração: 3+ anos de acesso persistente sem detecção ## Relevância Global Embora focada na Coreia do Sul, a campanha Heartbeat estabeleceu o padrão de operação do [[g0131-tonto-team]] que o grupo continua usando décadas depois. A métodologia de documentos isca com temas geopoliticamente relevantes para a vítima-alvo, o uso de RATs persistentes com heartbeat C2 e o foco em entidades governamentais e de defesa são assinaturas do grupo presentes em campanhas tão recentes quanto 2023-2024, direcionadas a países da OTAN e parceiros asiáticos dos EUA. ## Detecção e Defesa - Desabilitar execução de macros em documentos de fontes externas (política de grupo) - Monitorar criação de chaves de registro Run por processos não-administrativos - Detectar comúnicações HTTP periódicas (heartbeat) para domínios desconhecidos - Alertar sobre documentos HWP baixados de e-mails externos (especialmente em organizações com colaboradores sul-coreanos) - Implementar análise de comportamento de endpoints para detectar RATs persistentes - Consultar [[M1049-antivirus-antimalware|M1049]] e [[M1017-user-training|M1017]] para controles preventivos ## Referências - [1](https://documents.trendmicro.com/assets/HeartBeat-APT-Campaign.pdf) Trend Micro - HeartBeat: Targeted Attacks Against South Korea (2012) - [2](https://attack.mitre.org/groups/G0131/) MITRE ATT&CK - Tonto Team (G0131) - [3](https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses) SecureWorks - Bronze Butler Targets Japanese Businesses (2017) - [4](https://www.kaspersky.com/about/press-releases/2021_tonto-team-cactuspete-apt) Kaspersky - CactusPete APT Group Analysis (2021) - [5](https://www.trendmicro.com/en_us/research/22/c/tonto-team-targets-security-companies.html) Trend Micro - Tonto Team Targets Security Companies (2022)