# Operation Cobalt Kitty > [!info] Visão Geral > **Operation Cobalt Kitty** foi uma campanha de espionagem cibernetica sofisticada conduzida pelo grupo vietnamita [[g0050-apt32]] (OceanLotus) contra uma grande multinacional asiatica nao identificada, descoberta e investigada pela Cybereason entre outubro de 2016 e julho de 2017. O ataque comprometeu **mais de 40 computadores** em tres subsidiarias da empresa alvo, incluindo sistemas de alta gestao (VPs e diretores), mantendo **persistência por mais de um ano** sem ser detectado. O grupo utilizou técnicas avancadas incluindo DNS tunneling para C2, um backdoor exclusivo no Outlook, macros em documentos Word, e ferramentas como [[s0154-cobalt-strike]] e [[mimikatz]]. A campanha destacou a sofisticacao do APT32 em operações de espionagem corporativa com foco em propriedade intelectual e estratégia empresarial. ## Visão Geral A Operation Cobalt Kitty é um dos casos mais bem documentados de espionagem corporativa de longo prazo na Ásia-Pacífico, realizada pelo grupo vietnamita [[g0050-apt32]] (OceanLotus) contra uma grande multinacional asiática não identificada. Investigada pela Cybereason entre outubro de 2016 e julho de 2017, a operação revelou que os atacantes mantiveram presença persistente e não detectada por mais de um ano na rede corporativa da vítima, comprometendo mais de 40 computadores em três subsidiárias diferentes — incluindo sistemas utilizados por VPs e diretores de alto nível. O aspecto técnico mais notável da campanha foi o uso de DNS tunneling como canal C2 primário: toda a comunicação entre os implantes e os servidores dos atacantes era encapsulada em consultas DNS aparentemente legítimas, uma técnica que contorna firewalls e proxies que inspecionam tráfego HTTP/HTTPS mas não monitoram padrões anômalos de DNS. Além disso, o [[g0050-apt32]] desenvolveu um backdoor exclusivo para o cliente de email Microsoft Outlook — usando regras de email como canal C2 alternativo, onde comandos eram enviados como emails que nunca chegavam à caixa de entrada do usuário. O [[s0154-cobalt-strike]] foi utilizado para movimento lateral, enquanto o [[mimikatz]] permitiu o roubo de credenciais para propagação pela rede. Para organizações brasileiras com operações em mercados asiáticos ou com parceiros e concorrentes na região, a Operation Cobalt Kitty demonstra o padrão de atuação do [[g0050-apt32]] em espionagem de propriedade intelectual corporativa. O [[financial|setor financeiro]] e [[technology|tecnologia]] brasileiros que mantêm joint ventures ou competem com empresas do Vietnã, Tailândia e Malásia devem considerar o APT32 como ameaça relevante, especialmente dada a presença crescente de empresas brasileiras na região ASEAN. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Spear-phishing<br/>Documentos Word com macro"] --> B["Execução<br/>Macro VBA baixa<br/>Cobalt Strike Beacon"] B --> C["Persistência<br/>Backdoor no Outlook<br/>DNS tunneling C2"] C --> D["Coleta de Credenciais<br/>Mimikatz - LSASS dump<br/>Pass-the-Hash lateral"] D --> E["Movimento Lateral<br/>40+ sistemas<br/>3 subsidiarias afetadas"] E --> F["Espionagem<br/>Keylogging e screenshots<br/>Coleta de emails executivos"] F --> G["Exfiltração<br/>Dados estratégicos<br/>Planos corporativos"] ``` > **Atores:** [[g0050-apt32]] | **Malware:** [[s0154-cobalt-strike]], [[mimikatz]] | **Duracao:** mais de 1 ano de persistência ## Cronologia ```mermaid timeline title Operation Cobalt Kitty - Linha do Tempo 2016-04 : Estimativa de inicio das atividades de reconhecimento APT32 2016-11 : Comprometimento inicial via macro em documento Word 2016-12 : DNS tunneling estabelecido como canal C2 primario 2017-01 : Movimento lateral para 3 subsidiarias detectado 2017-03 : Cybereason inicia investigação ativa na rede alvo 2017-05 : Backdoor Outlook descoberto - comúnicação via email 2017-07 : Operação contida - relatorio final publicado 2017-08 : Cybereason publica análise completa da Cobalt Kitty ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word com macros VBA para execução inicial | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts PS para download e execução do Cobalt Strike | | DNS Tunneling | [[t1071-004-dns\|T1071.004]] | Canal C2 encapsulado em requisicoes DNS | | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Mimikatz para extrair credenciais da LSASS | | Email Collection | [[t1114-email-collection\|T1114]] | Backdoor no Outlook para coleta de emails executivos | | Screen Capture | [[t1113-screen-capture\|T1113]] | Capturas de tela de sistemas de alta gestao | ## Vitimas e Impacto **Alvo confirmado:** - Grande multinacional asiatica com operações globais (empresa nao divulgada públicamente) - Tres subsidiarias comprometidas simultaneamente - Sistemas de alta gestao - Vice-Presidentes e Diretores como alvos prioritarios - Mais de 40 computadores comprometidos **Dados comprometidos (estimativa):** - Estrategia corporativa e planos de negocios de longo prazo - Comúnicacoes confidenciais entre executivos (via backdoor Outlook) - Propriedade intelectual e segredos comerciais - Credenciais de acesso a sistemas criticos **Impacto operacional:** - Mais de um ano de acesso silencioso sem detecção - Perda potencial de vantagem competitiva em mercados asiaticos - Exposicao de estratégia de fusoes e aquisicoes em andamento ## Relevância LATAM e Brasil A Operation Cobalt Kitty nao teve impacto direto no Brasil ou LATAM, mas e relevante por varios motivos: - **[[g0050-apt32]] no contexto global**: O grupo OceanLotus demonstrou capacidade de atacar multinacionais globais, incluindo empresas com operações no Brasil. Subsidiarias brasileiras de empresas asiaticas e globais estao no escopo potencial do grupo - **Modelo de espionagem corporativa**: As técnicas de Cobalt Kitty foram adotadas como referência por grupos que atuam na LATAM para campanhas de espionagem industrial nos setores de [[energy|energia]], [[financial|financeiro]] e [[technology|tecnologia]] - **DNS Tunneling**: Técnica amplamente usada por grupos que atacam o Brasil - o caso Cobalt Kitty demonstrou sua efetividade em redes corporativas maduras - **Backdoor em clientes de email**: Variante desta técnica foi usada em campanhas de [[g0007-apt28]] e grupos criminosos que visam executivos brasileiros ## Mitigação **Controles específicos para espionagem corporativa:** - Monitorar requisicoes DNS anomalas de workstations corporativas - Inspecionar macros em documentos Office - bloquear macro execution por padrao - Auditar plugins e add-ins do Outlook instalados por usuarios **Controles gerais:** - Aplicar [[m1042-disable-or-remove-feature-or-program|M1042]] - desabilitar macros Office por politica corporativa - Implementar [[m1031-network-intrusion-prevention|M1031]] - detecção de DNS tunneling e trafego anomalo - Usar [[m1049-antivirus-antimalware|M1049]] - detecção de Cobalt Strike Beacon e Mimikatz - Monitorar via [[ds-0029-network-traffic|DS-0029]] - anomalias em trafego DNS (volume e TTL incomuns) ## Referências - [1](https://www.cybereason.com/blog/operation-cobalt-kitty-apt-attack-southeast-asia) Cybereason - Operation Cobalt Kitty: APT Attack Southeast Asia (2017) - [2](https://attack.mitre.org/groups/G0050/) MITRE ATT&CK - APT32 Group Profile (2023) - [3](https://www.welivesecurity.com/2018/03/13/oceanlotus-ships-new-backdoor/) ESET WeLiveSecurity - OceanLotus Ships New Backdoor (2018) - [4](https://www.volexity.com/blog/2017/11/06/oceanlotus-blossoms-mass-digital-surveillance-and-exploitation-of-asean-nations-the-media-academia-and-human-rights-defenders/) Volexity - OceanLotus Blossoms (2017) - [5](https://blog.trendmicro.com/trendlabs-security-intelligence/oceanlotus-apt-group-targets-organizations-and-journalists/) Trend Micro - OceanLotus Targets Organizations (2017) - [6](https://www.recordedfuture.com/apt32-targeting-foreign-governments/) Recorded Future - APT32 Targeting Foreign Governments (2020) - [7](https://unit42.paloaltonetworks.com/apt32-multi-stage-attack-leverages-dns-tunneling/) Unit 42 - APT32 Multi-Stage Attack DNS Tunneling (2019)