# Operation Bitter Biscuit > [!warning] Campanha de Espionagem - Tonto Team Contra Coreia do Sul > **Operation Bitter Biscuit** foi uma campanha de espionagem cibernética conduzida pelo grupo chinês [[g0131-tonto-team]] contra organizações governamentais e de defesa da Coreia do Sul no contexto geopolítico da implantação do sistema antimíssil **THAAD** (Terminal High Altitude Area Defense) em 2017. A campanha demonstrou como eventos geopolíticos disparam operações de inteligência cibernética coordenadas. ## Visão Geral A Operation Bitter Biscuit foi documentada pela AhnLab e pela Trend Micro em 2018 como parte do rastreamento das atividades do [[g0131-tonto-team]] (também rastreado como Bronze Butler, Earth Akhlut, CactusPete e TA428). O grupo é atribuído com alta confiança como ator de origem chinesa patrocinado por estado, com histórico de operações contra países da Ásia-Pacífico. O contexto geopolítico da campanha é crucial: a decisão da Coreia do Sul de aceitar a implantação do sistema de defesa antimíssil THAAD dos Estados Unidos em 2016 gerou forte reação da China, que impôs sanções econômicas e retaliações diplomáticas. A Operation Bitter Biscuit representou a dimensão cibernética dessa resposta - uma campanha de inteligência para monitorar a implantação do sistema e as posições estratégicas sul-coreanas. A campanha utilizou o [[s0268-bisonal]] como backdoor principal - uma ferramenta RAT desenvolvida exclusivamente pelo [[g0131-tonto-team]] e atualizada continuamente para evasão de detecção. O grupo também usou o DoublePipe, uma variante com capacidades de comunicação C2 aprimoradas. O vetor de acesso inicial foi predominantemente spear-phishing com documentos em coreano sobre assuntos de política de defesa, segurança nacional e relações sino-coreanas. A operação demonstrou sofisticação operacional: o [[g0131-tonto-team]] usou infraestrutura C2 com nomes de domínio que imitavam serviços legítimos sul-coreanos e governamentais para dificultar a detecção por ferramentas de filtro de conteúdo baseadas em reputação de domínio. ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Alvos vinculados ao programa<br/>THAAD e política de defesa"] --> B["Spear-phishing<br/>Documentos em coreano sobre<br/>segurança nacional e THAAD"] B --> C["Execução via VBScript<br/>Macro ou script VBA<br/>baixa o BISONAL"] C --> D["BISONAL Backdoor<br/>Acesso remoto completo<br/>C2 via domínios legítimos"] D --> E["Reconhecimento Interno<br/>Identificação de documentos<br/>sobre capacidades militares"] E --> F["Exfiltração<br/>Dados sobre THAAD, capacidades<br/>de defesa antimíssil coreanas"] ``` > **Ator:** [[g0131-tonto-team]] | **Contexto:** Implantação THAAD | **Período:** 2017-2018 ## Linha do Tempo ```mermaid timeline title Operation Bitter Biscuit - Linha do Tempo 2016-07 : Anúncio do acordo THAAD entre EUA e Coreia do Sul - gatilho geopolítico 2017-01 : Início documentado das campanhas Bitter Biscuit relacionadas ao THAAD 2017-03 : THAAD começa a ser implantado - intensificação das operações de espionagem 2017-06 : Pico de atividade - múltiplas organizações comprometidas simultaneamente 2018-06 : Última atividade documentada da campanha 2018-11 : AhnLab e Trend Micro publicam análises técnicas da campanha ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing com Anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos em coreano sobre THAAD e política de defesa | | Spear-phishing com Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links para download de documentos maliciosos hospedados em domínios comprometidos | | Visual Basic | [[t1059-005-visual-basic\|T1059.005]] | Scripts VBA em documentos Office para executar o dropper inicial | | Dump de Credenciais | [[t1003-os-credential-dumping\|T1003]] | Extração de credenciais para movimento lateral em redes governamentais | | Exfiltração via C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via canal C2 do BISONAL | | Mascaramento | [[t1036-masquerading\|T1036]] | Malware com nomes de processo imitando aplicações legítimas do Windows | ## Sobre o BISONAL O [[s0268-bisonal]] é um backdoor RAT desenvolvido e usado exclusivamente pelo [[g0131-tonto-team]] desde pelo menos 2010. Características: - **Desenvolvimento contínuo**: Atualizado regularmente com novas técnicas de evasão - **Capacidades completas**: Acesso remoto, shell interativo, captura de tela, keylogging, upload/download - **C2 customizado**: Protocolo proprietário com ofuscação variável entre versões - **Versões múltiplas**: A campanha Bitter Biscuit usou versões atualizadas com strings em coreano para aparentar legitimidade ## Vítimas e Impacto **Alvos confirmados:** - Agências governamentais sul-coreanas vinculadas à política de defesa e segurança nacional - Organizações militares com acesso a informações sobre o sistema THAAD - Empresas de tecnologia e defesa que participam do programa de defesa antimíssil **Impacto estratégico:** - Coleta de inteligência sobre a implantação e capacidades técnicas do THAAD - Monitoramento das posições negociadoras sul-coreanas com EUA e China - Acesso potencial a documentos classificados sobre sistemas de defesa antimíssil - Comprometimento de pelo menos dezenas de organizações ao longo de 18 meses ## Relevância LATAM e Brasil A Operation Bitter Biscuit não teve impacto direto no Brasil ou LATAM, mas oferece lições estratégicas importantes: - **Inteligência geopolítica via ciberespionagem**: A campanha demonstra como decisões políticas (aceitação de sistema de defesa estrangeiro) imediatamente ativam operações de inteligência cibernética de potências adversárias. O Brasil toma decisões similares regularmente em áreas como energia nuclear, infraestrutura 5G, e acordos de defesa - **Contexto temporal**: O [[g0131-tonto-team]] e grupos similares aumentam a intensidade de operações em resposta a eventos geopolíticos específicos. Equipes de segurança brasileiras devem elevar alerta durante períodos de tensão diplomática - **Setores estratégicos brasileiros**: O setor de defesa e [[government|governo]] brasileiro, incluindo o programa nuclear e projetos de defesa com parceiros internacionais, pode ser alvo de campanhas similares por atores interessados em monitorar capacidades militares do Brasil ## Detecção e Defesa **Controles recomendados:** - Implementar [[m1049-antivirus-antimalware|M1049]] com assinaturas específicas para [[s0268-bisonal]] - disponível em feeds de ameaças públicos - Aplicar [[m1042-disable-or-remove-feature-or-program|M1042]] - bloquear macros Office por política em ambientes governamentais - Monitorar via [[m1031-network-intrusion-prevention|M1031]] para padrões de beaconing do BISONAL - Implementar [[m1032-multi-factor-authentication|M1032]] para acesso a sistemas de defesa e governamentais críticos **Indicadores comportamentais:** - Processos em coreano ou com nomes culturalmente específicos em sistemas não regionais - Beaconing regular (a cada X minutos) para domínios de baixa reputação ou recém-registrados - Documentos Office em idiomas incomuns para o ambiente executando scripts VBA - Conexões para domínios que imitam serviços legítimos mas com pequenas variações tipográficas **Monitorar via:** - [[ds-0029-network-traffic|DS-0029]] - Network Traffic: padrões de beaconing do BISONAL - [[ds-0011-module|DS-0011]] - Module Load: DLLs anômalas carregadas por processos Office ## Referências - [1](https://www.trendmicro.com/en_us/research/18/b/operation-bitter-biscuit.html) Trend Micro - Operation Bitter Biscuit Analysis (2018) - [2](https://attack.mitre.org/groups/G0131/) MITRE ATT&CK - Tonto Team Group Profile (G0131) - [3](https://www.ahnlab.com/en/site/securityinfo/secunews/secuNewsView.do?seq=27740) AhnLab - Tonto Team Campaign Analysis South Korea (2018) - [4](https://www.sentinelone.com/labs/tonto-team-exploring-the-ttps-of-an-advanced-threat-actor-operating-a-large-infrastructure/) SentinelOne - Tonto Team TTPs and Infrastructure (2022) - [5](https://www.proofpoint.com/us/blog/threat-insight/ta428-targeting-russia-asia) Proofpoint - TA428 (Tonto Team) Campaign Analysis (2021)