operation-dns-poisoning-2022-2024

# Operação DNS Poisoning - Daggerfly 2022-2024 > [!medium] Campanha de Espionagem - Daggerfly (APT41 Affiliate) > Série de operações do grupo Daggerfly (afiliado ao APT41) usando técnicas de DNS poisoning e comprometimento de infraestrutura de rede como vetor de espionagem contra alvos governamentais e de telecomúnicações em Taiwan, Hong Kong e África. O grupo actualizou seu arsenal em 2024 com novas variantes do MgBot e o malware MACMA para macOS. ## Visão Geral As campanhas de **DNS Poisoning atribuídas ao Daggerfly** representam uma série de operações de espionagem de longa duração conduzidas pelo grupo [[g1034-daggerfly|Daggerfly]] - um ator de ameaça chinês com nexo estatal, rastreado também como Bronze Highland e considerado um cluster relacionado ao [[g0096-apt41|APT41]]. O grupo é notável pela amplitude geográfica e técnica das operações: atua em Taiwan, Hong Kong, regiões da África Subsaariana com presença chinesa significativa, e ocasionalmente nos EUA contra alvos de interesse geopolítico. A denominação "DNS Poisoning" para esta série de campanhas refere-se ao uso de técnicas de envenenamento de DNS como vetor de reconhecimento e intercepção de tráfego, combinado com o deploy do backdoor [[s1146-mgbot|MgBot]] para persistência de longo prazo. Em 2024, pesquisadores da Symantec documentaram uma atualização significativa do arsenal do Daggerfly: o [[s1016-macma|MACMA]] - um implante para macOS que demonstra capacidade de espionagem em plataformas Apple, incluindo captura de audio, screenshots e exfiltração de arquivos. Esta expansão para macOS é consistente com o perfil do grupo de adaptar-se às plataformas usadas pelos alvos. O Daggerfly frequentemente explora vulnerabilidades em servidores web e de telecomúnicações como vetor de acesso inicial, seguido de movimento lateral para sistemas de gerenciamento de rede onde o envenenamento de DNS oferece visibilidade sobre todo o tráfego da organização comprometida. **Plataformas:** Windows, macOS, Linux ## Cadeia de Infecção ```mermaid graph TB A["💥 Acesso inicial exploit em servidor web ou VPN/gateway de rede"] --> B["🌐 Comprometimento de infraestrutura de rede roteadores, DNS servers"] B --> C["🔀 DNS Poisoning intercepção de tráfego redirecionamento seletivo"] C --> D["📡 MgBot backdoor deploy em hosts de interesse via entrega man-in-the-middle"] D --> E["🔍 Reconhecimento extensivo mapeamento de usuários e sistemas de interesse"] E --> F["📤 Exfiltração seletiva documentos classificados comúnicações sensíveis"] ``` **Arsenal multiplataforma Daggerfly:** ```mermaid graph TB A["Daggerfly Arsenal"] A --> B["Windows MgBot backdoor DAGGERFLY loader"] A --> C["macOS MACMA spyware audio, screen, files"] A --> D["Linux ELF variants servidor-side implants"] B --> E["Espionagem corporativa e governamental"] C --> E D --> E ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application | Servidores web e VPN como vetor inicial | | [[t1557-001-llmnr-nbt-ns-poisoning\|T1557.001]] | LLMNR/NBT-NS Poisoning | Envenenamento de resolução de nomes de rede | | [[t1071-004-dns\|T1071.004]] | DNS | Exfiltração e C2 via protocolo DNS | | [[t1059-003-windows-command-shell\|T1059.003]] | Windows Command Shell | Execução de comandos via shell no host comprometido | ## Malware MgBot - Características O **MgBot** é o backdoor principal do Daggerfly: - Modular: capacidades adicionadas via plugins carregados dinâmicamente - Plugins documentados: keylogger, captura de audio, screen capture, file stealer - Comúnicação C2 via HTTP(S) com domínios que imitam serviços legítimos - Persistência via serviço Windows ou registro - Versões para Windows x86, x64 e ARM O **MACMA** (macOS): - Implante macOS avançado documentado em 2024 - Captura de audio e video (microfone e câmera) - Screenshots periódicos - Exfiltração de arquivos por tipo e tamanho - Persistência via LaunchDaemon/LaunchAgent ## Foco Geográfico e Contexto Geopolítico O Daggerfly atua em geografias de interesse estratégico para a China: - **Taiwan**: Espionagem de governo, forças armadas e indústria de semicondutores - **Hong Kong**: Monitoramento de ativistas pró-democracia e organizações de mídia - **África**: Países com projetos de infraestrutura da Iniciativa Cinturão e Rota (BRI) - **EUA**: Organizações de telecomúnicações e tecnologia relacionadas com Taiwan Este foco geopolítico é consistente com mandatos de inteligência estatal chinesa, distinguindo o Daggerfly de grupos de cibercrime puramente financeiros. ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > O Brasil tem projetos de infraestrutura com participação chinesa em portos, energia e telecomúnicações via Iniciativa Cinturão e Rota. Trabalhadores e parceiros envolvidos nessas iniciativas são alvos potenciais do Daggerfly. Infraestrutura de rede com componentes de fabricantes chineses representa vetor adicional de risco. A relevância do Daggerfly para o Brasil é emergente: 1. **Iniciativa Cinturão e Rota**: O Brasil tem projetos de infraestrutura com participação chinesa (portos, energia, telecomúnicações), e trabalhadores e parceiros envolvidos nessas iniciativas podem ser alvos 2. **Empresas com operações em Taiwan/Hong Kong**: Grupos brasileiros com filiais ou parcerias em Taiwan ou Hong Kong devem monitorar este ator 3. **Equipamentos de telecomúnicações**: Infraestrutura de rede brasileira com componentes de fabricantes chineses representa um vetor potencial para atividade de grupo com nexo estatal ## Detecção **Indicadores de comprometimento:** - Serviço Windows não reconhecido carregando DLL de plugin do MgBot - Processo fazendo requisições DNS de alto volume ou para domínios com padrões suspeitos - Alterações em configurações de DNS de roteadores ou servidores DNS internos **Fontes de dados:** - **Windows Event ID 7045:** Instalação de novo serviço não esperado - **DNS Query Logs:** Consultas de alto volume para domínios externos recentemente registrados - **Network Anomaly Detection:** Tráfego DNS incomum de hosts internos **Regras de detecção:** - Sigma: `win_security_susp_service_installation.yml` - instalação de serviços suspeitos - YARA: MgBot - strings características identificadas por Symantec/ESET ## Referências - [1](https://www.symantec.com/blogs/threat-intelligence/daggerfly-apt-targets-taiwan) Symantec - Daggerfly Espionage Campaigns (2024) - [2](https://attack.mitre.org/groups/G1034/) MITRE ATT&CK - Daggerfly (G1034) - [3](https://www.welivesecurity.com/en/eset-research/daggerfly-updated-arsenal/) ESET - Daggerfly Updated Arsenal (2024) - [4](https://www.mandiant.com/resources/blog/apt41-novel-malware) Mandiant - APT41 Cluster Analysis