# Operation Aria Body 2020 > [!warning] Campanha de Espionagem Governamental - Naikon APT na Ásia-Pacífico > **Operation Aria Body 2020** foi uma campanha de espionagem cibernética de longo prazo conduzida pelo grupo [[g0019-naikon]] contra governos da Ásia-Pacífico entre 2018 e 2020. A operação utilizou o backdoor exclusivo **Aria-body** - uma ferramenta sofisticada desenvolvida específicamente pelo Naikon que permaneceu não detectada por anos, permitindo espionagem sistemática de múltiplos governos da região do Mar do Sul da China. ## Visão Geral A Operation Aria Body 2020 foi documentada pela Check Point Research em maio de 2020, após anos de atividade silenciosa do grupo [[g0019-naikon]] (também rastreado como Bronze Geneva, APT30 subset e Lotus Panda). O Naikon é atribuído com alta confiança ao PLA (Exército de Libertação Popular) da China - específicamente ao Segundo Escritório do Departamento de Reconhecimento Técnico (TRB) do SSF (Strategic Support Force). O grupo está ativo desde pelo menos 2010, com histórico de espionagem contra países membros da ASEAN e disputantes do Mar do Sul da China. A campanha de 2018-2020 demonstrou que o Naikon havia evoluído significativamente após uma pausa aparente de atividades documentadas: o grupo desenvolveu o backdoor [[s0456-aria-body]] como substituto sofisticado do [[s0013-plugx]], com arquitetura modular e comunicação C2 aprimorada. A Operation Aria Body comprometeu escritórios governamentais em pelo menos 8 países: Austrália, Indonésia, Filipinas, Vietnã, Tailândia, Mianmar, Brunei, e potencialmente outros não divulgados. Um aspecto notável foi a **técnica de cadeia de comprometimentos governamentais**: o Naikon comprometeu um ministério de um país e usou esse acesso para enviar spear-phishing a funcionários de outros governos - aproveitando a confiança implícita em comúnicações entre parceiros diplomáticos. A espionagem focou em assuntos relacionados às disputas territoriais no Mar do Sul da China, comúnicações diplomáticas, e informações sobre a resposta dos países da ASEAN às assertivas chinesas na região. A temporalidade da campanha (2018-2020) coincide com períodos de tensão elevada no Mar do Sul da China. ## Attack Flow ```mermaid graph TB A["Governo Comprometido A<br/>Acesso via spear-phishing<br/>com Aria-body instalado"] --> B["Reconhecimento Diplomático<br/>Identificação de contatos<br/>em outros governos parceiros"] B --> C["Spear-phishing Encadeado<br/>Emails enviados de<br/>contas governamentais legítimas"] C --> D["Governo B Comprometido<br/>Aria-body instalado<br/>via link ou anexo confiável"] D --> E["Pivot Modular<br/>Módulos adicionais baixados<br/>conforme o alvo"] E --> F["Espionagem Diplomática<br/>Comúnicações sobre Mar do Sul<br/>e política da ASEAN exfiltradas"] ``` > **Ator:** [[g0019-naikon]] (PLA SSF TRB) | **Alvos:** 8+ governos APAC | **Período:** 2018-2020 ## Linha do Tempo ```mermaid timeline title Operation Aria Body 2020 - Linha do Tempo 2018 : Início documentado das operações com Aria-body backdoor 2019 : Expansão para múltiplos países - encadeamento de comprometimentos governamentais 2020-05 : Check Point Research publica análise da Operation Aria Body 2020-06 : Naikon reconfigura infraestrutura após exposição pública 2020-12 : Última atividade documentada da campanha original ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing com Anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos com tema diplomático e geopolítico da ASEAN | | Spear-phishing com Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links enviados de contas governamentais comprometidas (cadeia de confiança) | | Obfuscação | [[t1027-obfuscated-files-or-information\|T1027]] | Aria-body com técnicas de evasão avançadas | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Uso de contas governamentais comprometidas para pivôs laterais | | Exfiltração via C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Comúnicações diplomáticas exfiltradas via canal C2 do Aria-body | | Mascaramento | [[t1036-masquerading\|T1036]] | Aria-body com nomes de arquivo imitando componentes Windows legítimos | ## Sobre o Aria-body Backdoor O [[s0456-aria-body]] é um backdoor avançado desenvolvido exclusivamente pelo [[g0019-naikon]] para substituir o [[s0013-plugx]] em operações de alto valor. Características: - **Arquitetura modular**: Funcionalidades base + módulos adicionais baixados sob demanda conforme o objetivo da intrusão - **Comúnicação C2 sofisticada**: Múltiplos mecanismos de fallback para manter comunicação mesmo com bloqueios parciais - **Persistência resiliente**: Múltiplos mecanismos de persistência simultâneos para sobreviver a remoção parcial - **Capacidades extensas**: Acesso remoto completo, keylogging, captura de tela, extração de senhas, navegação no sistema de arquivos, execução de comandos - **Evasão de sandbox**: Verificações de ambiente para detectar análise antes de executar funcionalidades maliciosas ## Vítimas e Impacto **Países com comprometimento confirmado:** - Austrália - ministérios e agências governamentais federais - Indonésia - escritórios governamentais relacionados à política regional - Filipinas - governo com disputas ativas no Mar do Sul da China - Vietnã - governo como disputante no Mar do Sul da China - Tailândia, Mianmar, Brunei - países membros da ASEAN **Dados comprometidos:** - Comúnicações diplomáticas sobre políticas da ASEAN em relação à China - Posições negociadoras sobre disputas territoriais no Mar do Sul - Informações de inteligência compartilhadas entre parceiros regionais - Comúnicações de autoridades governamentais sobre estratégia regional ## Relevância LATAM e Brasil A Operation Aria Body não teve impacto direto no Brasil, mas apresenta dimensões relevantes: - **Técnica de pivot via governos parceiros**: O encadeamento de comprometimentos usando comúnicações diplomáticas legítimas é aplicável a qualquer rede de relacionamentos governamentais. O Brasil mantém relacionamentos diplomáticos extensos - incluindo com países na área de influência de múltiplos APTs - **Naikon e expansão geográfica**: O [[g0019-naikon]] historicamente focou na Ásia-Pacífico, mas grupos com mandato de inteligência estatal podem receber novos targets. O Brasil participa de fóruns multilaterais onde informações estratégicas são compartilhadas - **Modelo de espionagem de ASEAN**: A [[government|política regional]] e as disputas territoriais são o motor dessas operações. O Brasil possui disputas de soberania (plataforma continental, Amazônia) e acordos de defesa com múltiplos países - cenários que geram interesse de inteligência para potências globais ## Detecção e Defesa **Controles recomendados:** - Implementar verificação de identidade adicional para emails de parceiros governamentais que incluam links ou anexos - mesmo de remetentes conhecidos - Monitorar [[ds-0029-network-traffic|DS-0029]] para comunicação modular característica do Aria-body (downloads de módulos adicionais após instalação inicial) - Aplicar [[m1042-disable-or-remove-feature-or-program|M1042]] em ambientes governamentais - bloquear execução de macros Office por política - Implementar [[m1032-multi-factor-authentication|M1032]] em contas de alto valor diplomático **Indicadores comportamentais:** - Emails de parceiros diplomáticos com urgência incomum ou solicitações atípicas - Processos com nomes de componentes Windows mas em paths não padrão - Downloads de módulos DLL adicionais após execução inicial de processo - Comúnicação C2 com fallback para múltiplos domínios/IPs quando o principal é bloqueado **Monitorar via:** - [[ds-0029-network-traffic|DS-0029]] - Network Traffic: padrões modulares de C2 - [[ds-0009-process|DS-0009]] - Process Creation: processos gerando subprocessos ou downloads inesperados ## Referências - [1](https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/) Check Point Research - Naikon APT: Cyber Espionage Reloaded (2020) - [2](https://attack.mitre.org/groups/G0019/) MITRE ATT&CK - Naikon Group Profile (G0019) - [3](https://securelist.com/the-naikon-apt/69953/) Kaspersky Securelist - The Naikon APT (2015, contexto histórico) - [4](https://www.bitdefender.com/files/News/CaseStudies/study/379/Bitdefender-Whitepaper-Naikon-APT-en-EN.pdf) Bitdefender - Naikon APT Whitepaper (2021) - [5](https://www.welivesecurity.com/2021/05/13/back-safety-naikon-apt-group-targets-south-asia-pacific-region/) ESET WeLiveSecurity - Naikon Back in Action (2021)