# Operation Daybreak > [!warning] Campanha de Espionagem APT37 - Flash Zero-Day > **Operation Daybreak** foi uma campanha de espionagem da Coreia do Norte conduzida pelo grupo **APT37 (ScarCruft)** em 2016, explorando uma vulnerabilidade zero-day no Adobe Flash Player para comprometer alvos governamentais e militares na Coreia do Sul e em outros países. ## Visão Geral Operation Daybreak foi identificada pela Kaspersky Lab em junho de 2016 como uma campanha sofisticada de espionagem cibernética conduzida pelo grupo norte-coreano [[g0067-apt37]] (também conhecido como ScarCruft, InkySquid e Reaper). A operação explorou um zero-day no Adobe Flash Player (CVE-2016-1010), que estava completamente desconhecido até ser capturado pelos sistemas de detecção da Kaspersky. A campanha se distinguiu por técnicas de evasão avançadas e raras - mecanismos nunca observados anteriormente pela comunidade de segurança. O APT37 comprometeu servidores web legítimos para hospedar o kit de exploração, mesclando o tráfego malicioso com a infraestrutura de confiança dos alvos. Mais de duas dezenas de vítimas foram confirmadas, com foco em alvos de alto perfil ligados ao governo da Coreia do Sul. A operação foi parte de uma série de campanhas paralelas conduzidas pelo APT37 na mesma época, incluindo a Operation Erebus, que usou outro exploit Flash (CVE-2016-4117). Juntas, as duas operações demonstraram a capacidade do grupo norte-coreano de ter acesso simultâneo a múltiplas vulnerabilidades zero-day, algo tipicamente associado a atores com recursos de nível estatal. Para o contexto LATAM: apesar de não ter alvos diretos na região, o APT37 demonstrou uma expansão geográfica contínua em suas operações. A técnica de drive-by compromise via Flash zero-day é relevante para qualquer organização que utilize software Adobe em ambientes corporativos, incluindo no Brasil. ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Identificação de alvos<br/>governo e militares Coreia do Sul"] --> B["Comprometimento Web<br/>Servidores legítimos<br/>infectados com exploit kit"] B --> C["Acesso Inicial<br/>CVE-2016-1010<br/>Flash zero-day via link"] C --> D["Execução<br/>Shellcode multi-estágio<br/>técnicas de evasão únicas"] D --> E["Entrega de Payload<br/>PDF decoy exibido<br/>malware instalado silenciosamente"] E --> F["C2 Estabelecido<br/>DOGCALL backdoor<br/>exfiltração de dados"] ``` > **Grupo:** [[g0067-apt37]] | **Zero-Day:** CVE-2016-1010 | **Período:** março-junho 2016 ## Cronologia ```mermaid timeline title Operation Daybreak - Linha do Tempo 2016-03 : Início da campanha - links maliciosos enviados a alvos de alto perfil 2016-04 : CVE-2016-0147 (IE) possívelmente usado em paralelo 2016-05 : Kaspersky detecta comportamento anômalo via nova tecnologia de detecção 2016-06 : Kaspersky publica análise pública da Operation Daybreak 2016-06 : Adobe lança patch emergencial para CVE-2016-1010 ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Servidores legítimos comprometidos como vetor de entrega | | Exploração para Execução | [[t1203-exploitation-for-client-execution\|T1203]] | CVE-2016-1010 Adobe Flash zero-day explorado silenciosamente | | Spear-phishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links maliciosos enviados a alvos específicos de alto perfil | | Ofuscação de Arquivos | [[t1027-obfuscated-files-or-information\|T1027]] | Técnicas de evasão avançadas e inéditas para bypassar AV | | Exfiltração via C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados através do backdoor DOGCALL | ## Vitimas e Impacto A Operation Daybreak comprometeu mais de duas dezenas de alvos de alto perfil, com foco em: - **Entidades governamentais da Coreia do Sul** - ministérios e agências de segurança nacional - **Organizações militares** - com acesso a informações estratégicas - **Alvos secundários** em Russia, Nepal, China, India, Kuwait e Romania - **Documento decoy** exibido durante infecção: arquivo PDF em coreano sobre relações China-Coreia O impacto operacional incluiu exfiltração de dados sensíveis sobre capacidades militares sul-coreanas e informações estratégicas de interesse para o regime norte-coreano. ## Relevância LATAM e Brasil Operation Daybreak não teve alvos diretos no Brasil ou LATAM, mas é relevante por: - **Técnica de zero-day Flash:** Adobe Flash foi amplamente usado em ambientes corporativos brasileiros até sua descontinuação em 2020. A técnica demonstrou como softwares legítimos podem ser vetores críticos - **Drive-by compromise:** Técnica adotada por grupos que operam na LATAM para campanhas de espionagem corporativa e ataques a setores governamentais - **APT37 e expansão geográfica:** O grupo demonstrou capacidade de atacar alvos além da Coreia do Sul, com vítimas em múltiplos continentes - padrão que pode evoluir para incluir o Brasil no contexto de espionagem industrial ## Detecção e Defesa **Controles recomendados:** - Desabilitar ou remover Adobe Flash (já descontinuado desde dezembro 2020) - Aplicar [[m1050-exploit-protection|M1050]] - proteção contra exploits em navegadores e plugins - Implementar [[m1021-restrict-web-based-content|M1021]] - restringir execução de plugins de terceiros - Monitorar via [[ds-0029-network-traffic|DS-0029]] - tráfego anômalo de servidores web comprometidos **Indicadores comportamentais:** - Flash objects em cadeia (múltiplos SWF aninhados) são suspeitos - PDF decoy exibido após infecção - usuário vê documento legítimo enquanto malware executa - Conexões a domínios comprometidos de organizações legítimas ## Referências - [1](https://securelist.com/operation-daybreak/75100/) Kaspersky Securelist - Operation Daybreak (2016) - [2](https://attack.mitre.org/groups/G0067/) MITRE ATT&CK - APT37 Group Profile - [3](https://cloud.google.com/blog/topics/threat-intelligence/apt37-overlooked-north-korean-actor) FireEye/Google - APT37: The Overlooked North Korean Actor (2018) - [4](https://thesecmaster.com/blog/scarcruft-apt37) SecMaster - ScarCruft APT37 Threat Profile (2025)