# Iron Tiger Campaigns > [!danger] APT27 evolui para espionagem multi-plataforma em decada de operações > As **Iron Tiger Campaigns** sao uma serie de operações de espionagem cibernetica conduzidas pelo grupo chines **ThreatGroup-3390 (APT27/Earth Smilodon)** desde 2015. O grupo e conhecido pela longevidade operacional, evolução constante de ferramentas, e pela transicao em 2022 para capacidades multi-plataforma que atacam Windows, Linux e macOS simultaneamente. ## Visão Geral As Iron Tiger Campaigns representam mais de uma decada de operações persistentes do grupo [[g0027-threat-group-3390|ThreatGroup-3390]], também conhecido como APT27, Bronze Union e Earth Smilodon. O nome "Iron Tiger" foi dado pela Trend Micro, que tem acompanhado o grupo desde 2015 em múltiplas campanhas de espionagem direcionadas a governos, forcas de defesa, e industrias estratégicas na Asia e EUA. O grupo e técnicamente sofisticado e demonstrou capacidade notavel de evolução: o malware principal, [[s0398-hyperbro|HyperBro]], evoluiu a partir do HttpBrowser e continua sendo atualizado regularmente. Em 2022, o grupo expandiu seu alcance com o desenvolvimento de versoes do HyperBro para Linux e macOS, e comprometeu a aplicação de mensagens MiMi (uma alternativa chinesa ao WhatsApp) para distribuir backdoors através de um ataque de supply chain - atingindo usuarios de todas as tres plataformas simultaneamente. Outro malware central do grupo, [[sysupdate|SysUpdaté (FOCUSFJORD)]], também passou por evolução significativa: de um simples backdoor para Windows a um framework modular com plugins para diferentes funcionalidades de espionagem. Em 2022, uma versao para Linux foi descoberta pelos pesquisadores da Trend Micro, confirmando o investimento do grupo em capacidades cross-platform. A campanha de 2022 envolvendo a exploração do [[cve-2021-44228|CVE-2021-44228 (Log4Shell)]] demonstrou que o APT27 monitora ativamente vulnerabilidades criticas recentemente divulgadas para incorpora-las rapidamente ao seu arsenal. A velocidade de operacionalizacao de Log4Shell pelo grupo - dentro de dias após a divulgacao pública - reflete a maturidade operacional de um programa de espionagem estatal bem financiado. ## Evolução Temporal das Campanhas ```mermaid timeline 2015 : Iron Tiger 1.0 : HyperBro deriva do HttpBrowser : Alvos governamentais e de defesa 2019 : Operation DRBControl : Setor de apóstas Sudeste Asiatico : Backdoor via Dropbox C2 2021 : Exploração do Log4Shell : CVE-2021-44228 operacionalizado : Ampliacaoo de alvos para servidores 2022 : Expansao multi-plataforma : HyperBro e SysUpdaté para Linux e macOS : Supply chain via app MiMi 2023 : Campanha continua : Novos alvos no Oriente Medio : Evolução de toolset persistente ``` ## Evolução do Arsenal ```mermaid graph TB subgraph v1["2015-2018 - Primeiro Arsenal"] A1["HttpBrowser<br/>RAT original do grupo"] A2["PlugX<br/>RAT compartilhado com outros APTs"] A3["SysUpdaté v1<br/>Backdoor Windows simples"] end subgraph v2["2019-2021 - Arsenal Maduro"] B1["HyperBro v2<br/>RAT customizado avancado<br/>DLL sideloading"] B2["SysUpdaté v2<br/>Framework modular com plugins"] B3["Backdoor Dropbox C2<br/>Evasão de bloqueio de rede"] end subgraph v3["2022-atual - Multi-plataforma"] C1["HyperBro cross-platform<br/>Windows + Linux + macOS"] C2["SysUpdaté Linux<br/>Capacidades para servidores"] C3["Pandora rootkit<br/>Persistência profunda"] end A1 -->|"Evolui para"| B1 A3 -->|"Evolui para"| B2 B1 -->|"Porta para"| C1 B2 -->|"Porta para"| C2 ``` ## Técnicas Utilizadas (MITRE ATT&CK) - [[t1566-phishing|T1566 - Phishing]] - Spear-phishing como vetor inicial em múltiplas campanhas do grupo - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - Exploração do CVE-2021-44228 (Log4Shell) em servidores - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] - DLL sideloading para carregar HyperBro e evitar detecção - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - C2 via HTTP/HTTPS para todos os backdoors do grupo - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - WMI para execução remota e movimento lateral - [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] - Comprometimento do app MiMi em 2022 para distribuir backdoors - [[t1102-web-service|T1102 - Web Service]] - Uso de Dropbox API como infraestrutura C2 para evasão - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - Escalonamento via CVEs em múltiplas campanhas ## Software Utilizado - [[s0398-hyperbro]] - RAT principal do grupo, evolução do HttpBrowser, versoes para Windows/Linux/macOS desde 2022 - [[sysupdate]] - Framework modular (FOCUSFJORD), versao Linux descoberta em 2022 - [[s0013-plugx]] - RAT modular veterano, compartilhado com outros APTs chineses - [[cve-2021-44228|CVE-2021-44228]] - Log4Shell, explorado ativamente pelo grupo em 2021-2022 ## Impacto As Iron Tiger Campaigns demonstram a capacidade de ameaça de longo prazo do APT27: - Mais de uma decada de operações continuas com evolução constante de ferramentas - Comprometimento de organizacoes de [[government|governo]], [[defense|defesa]] e [[technology|tecnologia]] em múltiplos paises - O supply chain attack via MiMi em 2022 comprometeu usuarios de 3 plataformas simultaneamente - A velocidade de operacionalizacao do Log4Shell demonstra monitoramento ativo de divulgacoes de CVE - O desenvolvimento de versoes Linux e macOS do malware principal indica investimento em capacidades de espionagem multi-plataforma de longo prazo - O grupo representa uma ameaça persistente avancada (APT) no sentido mais literal: persiste por anos e avanca constantemente ## Relevância LATAM/Brasil O impacto direto no Brasil das Iron Tiger Campaigns nao e amplamente documentado, mas o grupo apresenta risco indireto relevante: - O setor de [[technology|tecnologia]] brasileira (Embraer, Stefanini, Totvs) tem perfil de alvo para espionagem industrial - Organizacoes governamentais e de defesa brasileiras com parceiras internacionais podem ser alvos secundarios - O modelo de supply chain compromise (app MiMi) e um vetor que pode ser replicado contra aplicativos de mensagens populares no Brasil - A capacidade cross-platform do grupo e relevante dado o ecossistema misto Windows/Linux/macOS de empresas brasileiras - A [[operation-drbcontrol|Operation DRBControl]] documentou conexoes com o Brasil, indicando que o grupo tem pelo menos interesse exploratorio na regiao ## Detecção e Defesa **Deteccoes recomendadas:** - Monitorar DLL sideloading em processos de aplicações legitimas (antivirus, utilitarios de sistema) - Detectar comunicação de servidores Linux para enderecos IP externos via HTTP em horarios incomuns (SysUpdaté Linux) - Alertar sobre downloads de DLLs a partir de processos de aplicativos de terceiros (vetor MiMi) - EDR: comportamento de HyperBro inclui injecao de processo e comunicação C2 HTTP periodica - Patch: monitorar e aplicar patches para Log4Shell e similares em regime de emergência **Mitigacoes:** - Implementar EDR com detecção comportamental em todos os endpoints (Windows, Linux, macOS) - Aplicar patches de segurança criticos em SLA máximo de 72 horas para CVEs explorados ativamente - Usar repositorios privados de aplicativos corporativos para evitar instalacao de apps de terceiros comprometidos - Segmentacao de rede para limitar movimento lateral após comprometimento inicial - Monitoramento de integridade de binarios em servidores Linux para detectar implantação de backdoors **Mitigacoes MITRE:** [[m1051-update-software|M1051]] · [[m1045-code-signing|M1045]] · [[m1030-network-segmentation|M1030]] ## Referências - [1](https://www.trendmicro.com/en_us/research/22/d/iron-tiger-apt-targets-messaging-app-mimi-with-mac-linux-and-windows-backdoors.html) Trend Micro - Iron Tiger APT Targets MiMi with Mac, Linux and Windows Backdoors (2022) - [2](https://attack.mitre.org/groups/G0027/) MITRE ATT&CK - ThreatGroup-3390 G0027 (2023) - [3](https://www.trendmicro.com/en_us/research/22/g/iron-tiger-sysupdate-adds-linux-targeting.html) Trend Micro - Iron Tiger SysUpdaté Adds Linux Targeting (2022) - [4](https://www.secureworks.com/research/bronze-union) SecureWorks - BRONZE UNION (ThreatGroup-3390) Profile (2021) - [5](https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-iron-tiger-attacking-us-defense-contractors) Trend Micro - Operation Iron Tiger: Attacking US Defense Contractors (2015)