# Operation BadAudio > [!medium] Campanha de espionagem do APT24 usando malware com módulo de captura de áudio > A **Operation BadAudio** envolve operações do grupo [[g0099-apt24]] (TEMP.Avengers/PinkPanther) com uso de malware que inclui módulo de captura de áudio como característica técnica notável. O grupo opera desde pelo menos 2015 com foco em entidades governamentais e de defesa, usando spear-phishing e o [[pinkslipbot]] como ferramenta principal de acesso remoto e exfiltração de dados de sistemas comprometidos. ## Visão Geral O [[g0099-apt24]] é um grupo de espionagem com nexo chinês que opera com menor perfil que os grandes APTs documentados (APT28, APT29, APT41), mas mantém uma presença persistente em redes governamentais e corporativas de interesse. A campanha BadAudio se destaca pela inclusão de capacidades de captura de áudio ambiente — microfone ativado silenciosamente para gravar conversas próximas ao dispositivo comprometido — complementando as capacidades padrão de keylogging, captura de tela e exfiltração de arquivos. O [[pinkslipbot]] (também conhecido como QakBot em algumas variantes relacionadas) foi a ferramenta central da campanha, com comunicação C2 via P2P para dificultar sinkholing da infraestrutura. O grupo demonstrou capacidade de manter acesso persistente por longos períodos sem detecção, utilizando binários assinados com certificados roubados para evadir controles de application whitelisting. Para organizações [[government|governamentais]] e [[defense|de defesa]] que conduzem discussões sensíveis em ambientes com computadores corporativos, a possibilidade de captura de áudio ambiente — mesmo quando o computador parece estar em estado ocioso — representa um vetor de vazamento de informações raramente considerado em políticas de segurança tradicionais. Salas de reunião com dispositivos comprometidos constituem um risco de inteligência real. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos como vetor inicial | | Audio Capture | [[t1123-audio-capture\|T1123]] | Captura de áudio ambiente via microfone | | Screen Capture | [[t1113-screen-capture\|T1113]] | Screenshots periódicas dos sistemas comprometidos | | P2P C2 | [[t1090-003-multi-hop-proxy\|T1090.003]] | Infraestrutura C2 P2P para resiliência | ## Referências - [1](https://attack.mitre.org/groups/G0099/) MITRE ATT&CK - APT24 (G0099) - [2](https://www.secureworks.com/research/threat-group-3390-targets-organizations-for-cyberespionage) SecureWorks - APT24 Threat Group Profile - [3](https://unit42.paloaltonetworks.com/apt24-hammertoss-technique-in-china/) Unit 42 - APT24 Technical Analysis