# Operation Deadfall > [!warning] Campanha de Espionagem - BlackTech com PLEAD Backdoor > **Operation Deadfall** foi uma campanha paralela conduzida pelo grupo [[g0098-blacktech]] em conjunto com a Operation Shrouded Crossbow, focada no uso do backdoor **PLEAD** para espionagem contra organizações governamentais e de tecnologia em Taiwan e Japão. A campanha demonstrou a capacidade do BlackTech de operar múltiplas infraestruturas C2 simultaneamente contra diferentes conjuntos de alvos. ## Visão Geral A Operation Deadfall foi documentada pela Trend Micro em 2015 como parte de uma análise abrangente das operações do grupo [[g0098-blacktech]]. Enquanto a Operation Shrouded Crossbow focava no uso de variantes customizadas do [[bifrost]] e KIVARS, a Deadfall utilizou o backdoor [[s0435-plead]] - uma ferramenta mais leve e focada em spionagem de curto prazo com capacidades de exfiltração de documentos. O grupo [[g0098-blacktech]] demonstrou com essas operações paralelas uma capacidade operacional sofisticada: a manutenção de múltiplos conjuntos de ferramentas e infraestruturas C2 independentes, permitindo segmentação de operações por tipo de alvo, nível de acesso desejado e período de persistência. Isso reduzia o risco de detecção cruzada - o comprometimento de uma infraestrutura não exporia automaticamente as demais. O [[s0435-plead]] foi usado principalmente para acesso inicial e exfiltração rápida de documentos específicos, ao contrário do BIFROST/KIVARS que era implantado para persistência de longo prazo. Essa diferenciação de ferramentas por objetivo operacional é característica de grupos APT maduros. A campanha foi particularmente eficaz contra organizações [[government|governamentais]] taiwanesas e empresas de [[technology|tecnologia]] no Japão, coletando documentos estratégicos e propriedade intelectual de alto valor. A infraestrutura C2 utilizava servidores em múltiplos países para dificultar o rastreamento e a atribuição. ## Attack Flow ```mermaid graph TB A["Spear-phishing<br/>Documentos Office maliciosos<br/>tema governamental/tech"] --> B["Execução do PLEAD<br/>Backdoor leve instalado<br/>para acesso inicial"] B --> C["Reconhecimento Rápido<br/>Identificação de documentos<br/>de interesse para exfiltração"] C --> D["Exfiltração Imediata<br/>Documentos específicos<br/>enviados via C2"] D --> E["Persistência Seletiva<br/>BIFROST/KIVARS implantado<br/>apenas em alvos prioritários"] E --> F["Operação Paralela<br/>PLEAD e BIFROST em<br/>infraestruturas C2 separadas"] ``` > **Ator:** [[g0098-blacktech]] | **Malware:** PLEAD, BIFROST | **Período:** 2014-2017 ## Linha do Tempo ```mermaid timeline title Operation Deadfall - Linha do Tempo 2014 : Início das operações com PLEAD backdoor contra alvos em Taiwan 2015 : Trend Micro documenta Deadfall e Shrouded Crossbow como campanhas paralelas 2016 : Expansão para alvos japoneses - empresas tech e organizações governamentais 2017 : BlackTech evolui infraestrutura - início de uso de roteadores comprometidos como relay C2 2023 : Advisory CISA/FBI/NSA sobre roteadores comprometidos pelo BlackTech (legado da Deadfall) ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing com Anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office maliciosos com temas relevantes para os alvos | | Obfuscação | [[t1027-obfuscated-files-or-information\|T1027]] | PLEAD com técnicas de ofuscação para evasão de AV | | Exfiltração via C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Documentos exfiltrados via canal C2 criptografado do PLEAD | | Transferência de Ferramentas | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais após acesso inicial | | Protocolo de Camada de Aplicação | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTP/HTTPS para misturar com tráfego legítimo | ## Sobre o PLEAD Backdoor O [[s0435-plead]] é um backdoor desenvolvido pelo [[g0098-blacktech]] com foco em operações de curta duração e exfiltração direcionada de documentos. Características principais: - **Footprint reduzido**: Menor e mais difícil de detectar que o BIFROST - **Foco em documentos**: Capacidades otimizadas para identificar e exfiltrar arquivos específicos - **C2 via HTTP/HTTPS**: Comúnicação que se mistura com tráfego web legítimo - **Múltiplas variantes**: Versões evolidas ao longo do tempo para evasão de assinaturas Em 2019, a ESET identificou que o PLEAD estava sendo distribuído via **man-in-the-middle** de atualizações de software legítimo (ASUS WebStorage), uma evolução significativa da infraestrutura de distribuição do BlackTech. ## Vítimas e Impacto **Alvos confirmados:** - Agências governamentais taiwanesas - foco em ministérios com documentos estratégicos - Empresas de tecnologia japonesas - propriedade intelectual e segredos comerciais - Organizações de defesa regional com acesso a informações militares **Escala do comprometimento:** - Dezenas de organizações comprometidas ao longo da campanha - Exfiltração sistemática de documentos de alto valor estratégico - Acesso mantido por períodos de meses em alvos prioritários ## Relevância LATAM e Brasil A Operation Deadfall não teve impacto direto na região, mas é relevante por: - **Técnica MITM em atualizações de software**: A evolução para distribuição via ASUS WebStorage (documentada em 2019) demonstra que atualizações automáticas de software podem ser vetores de comprometimento - risco presente em qualquer mercado incluindo o Brasil - **Infraestrutura C2 segmentada**: A técnica de múltiplas infraestruturas C2 independentes é usada por grupos que operam na LATAM para dificultar a detecção - **PLEAD como modelo de espionagem corporativa**: O modelo de backdoor leve + exfiltração rápida de documentos específicos é aplicável a campanhas de espionagem industrial nos setores de [[technology|tecnologia]] e [[financial|financeiro]] no Brasil ## Detecção e Defesa **Controles recomendados:** - Verificar integridade de atualizações de software com assinatura digital antes da execução via [[m1045-code-signing|M1045]] - Monitorar tráfego HTTP/HTTPS de processos não-navegadores via [[m1031-network-intrusion-prevention|M1031]] - Aplicar [[m1042-disable-or-remove-feature-or-program|M1042]] - bloquear execução de macros Office por política - Implementar DLP (Data Loss Prevention) para detectar exfiltração de documentos sensíveis **Indicadores comportamentais:** - Processos Office criando arquivos executáveis ou acessando diretórios de sistema - Comúnicação HTTP/HTTPS para domínios não categorizados ou de baixa reputação - Acesso a múltiplos documentos Office em sequência rápida seguido de tráfego de saída - Processos com nomes genéricos (svchost.exe clone, explorer.exe clone) em paths não padrão **Monitorar via:** - [[ds-0029-network-traffic|DS-0029]] - Network Traffic: conexões de saída de processos suspeitos - [[ds-0022-file|DS-0022]] - File Access: padrões de acesso a documentos sensíveis ## Referências - [1](https://www.trendmicro.com/en_us/research/15/k/shrouded-crossbow-a-secret-behind-bifrose-and-kivars.html) Trend Micro - Operation Deadfall e Shrouded Crossbow (2015) - [2](https://www.welivesecurity.com/2019/05/14/plead-malware-mitm-asus/) ESET - PLEAD Malware via MITM de Atualizações ASUS (2019) - [3](https://attack.mitre.org/groups/G0098/) MITRE ATT&CK - BlackTech Group Profile - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-193a) CISA/FBI/NSA/NPA - BlackTech Advisory AA23-193A: Roteadores Comprometidos (2023) - [5](https://jsac.jpcert.or.jp/archive/2019/pdf/JSAC2019_1_suzuki-kakihara_en.pdf) JPCERT - PLEAD Downloader Analysis (2019)