operation-eastern-roppels

# Operation EasternRoppels > [!high] Esteganografia HTML como C2 - Técnica Pioneira do PLATINUM APT > A **Operation EasternRoppels** foi uma campanha de ciberespionagem conduzida pelo **PLATINUM APT** usando uma técnica inovadora e raramente documentada: comunicação C2 via **esteganografia HTML**, codificando comandos em espacos e tabs de paginas web regulares. O grupo operou contra alvos diplomaticos e militares na Asia do Sul e Sudeste Asiatico por mais de sete anos antes de ser exposto pela Kaspersky em 2019. ## Visão Geral A Operation EasternRoppels foi exposta em outubro de 2019 pela Kaspersky Lab em um relatorio tecnico detalhado que revelou uma técnica de comunicação C2 nunca antes documentada em ambientes de producao: esteganografia HTML usando espacos e tabs (whitespace steganography). O [[g0068-platinum]] APT - rastreado pela Microsoft como PLATINUM e associado a Coreia do Sul como pais-alvo original - expandiu operações para a Asia do Sul e Sudeste Asiatico, visando entidades diplomaticas e militares de alto valor. A técnica central da campanha e técnicamente elegante: o backdoor do PLATINUM se comúnicava com servidores C2 enviando requisicoes HTTP para paginas web aparentemente normais hospedadas no Dropbox. A resposta dessas paginas continha comandos codificados nos espacos em branco do HTML - cada tab representava um bit "1" e cada espaco representava um bit "0", ou vice-versa. Para qualquer sistema de monitoramento de rede ou inspetor de proxy, o trafego parecia acesso normal a paginas web no Dropbox. Esse uso do Dropbox como servico C2 (Web Service Technique - T1102) combinado com esteganografia HTML tornava a detecção extraordinariamente difícil. Mesmo com inspecao profunda de pacotes (DPI), o conteudo do HTML parecia completamente legitimo - os comandos estavam literalmente invisíveis para qualquer análise que nao soubesse o que procurar específicamente. O PLATINUM e um dos grupos APT técnicamente mais sofisticados documentados pela Microsoft, operando desde pelo menos 2009 com foco inicial em alvos governamentais sul-coreanos antes de expandir para a Asia do Sul. A campanha EasternRoppels demonstrou a capacidade do grupo de desenvolver e empregar técnicas de evasão genuinamente inovadoras em producao. ## Attack Flow ```mermaid graph TB A["📧 Spear-phishing Documentos diplomaticos e militares armados"] --> B["💥 Execução do Payload Exploit de documento ou macro VBA"] B --> C["💧 PLATINUM Backdoor Instalado no sistema Persistência via servicos"] C --> D["🌐 C2 via Dropbox Requisicoes HTTP para paginas aparentemente normais"] D --> E["🔍 Leitura Esteganografica Tabs = bit 1 / Espacos = bit 0 Comandos extraidos do HTML"] E --> F["⚙️ Execução de Comandos Upload/download arquivos Captura de tela"] F --> G["📤 Exfiltração Furtiva Dados codificados em requisicoes HTTP normais"] ``` ### Técnica de Esteganografia HTML ```mermaid graph TB A["Servidor C2 Dropbox Pagina HTML aparentemente normal"] --> B["Whitespace Encoding Tabs = bit 1 Espacos = bit 0"] B --> C["Extrair Whitespace do corpo HTML"] C --> D["Decodificar Binario Sequencia bits -> ASCII"] D --> E["Comando C2 Extraido ex: download_file X upload_file Y"] E --> F["Backdoor Executa Comando Resultado codificado na proxima requisicao"] A --> G["Para Monitoramento de Rede Parece acesso normal ao Dropbox via HTTPS"] ``` ## Cronologia | Data | Evento | |------|--------| | 2012-01 | Estimativa de inicio das operações PLATINUM na Asia do Sul identificada em retrospecto | | 2014-06 | Microsoft pública primeiro relatorio sobre PLATINUM focando em alvos sul-coreanos | | 2015-2018 | Expansao para India, Sri Lanka, Indonesia com técnica de esteganografia HTML | | 2019-01 | Kaspersky identifica técnica única de C2 via whitespace HTML em paginas Dropbox | | 2019-10 | Kaspersky pública relatorio "EasternRoppels" expondo a técnica públicamente | | 2020-Q1 | Atividade cai significativamente após exposicao; grupo adapta infraestrutura | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Spear-phishing com documentos diplomaticos e militares | | [[t1027-obfuscated-files\|T1027]] | Obfuscated Files | Comandos C2 codificados via esteganografia HTML (whitespace) | | [[t1102-web-service\|T1102]] | Web Service | Dropbox como plataforma C2 para misturar com trafego legitimo | | [[t1071-application-layer-protocol\|T1071]] | Application Layer | C2 via HTTPS para Dropbox - indistinguível de uso normal | | [[t1564-hide-artifacts\|T1564]] | Hide Artifacts | Comandos ocultos em whitespace HTML de paginas normais | | [[t1547-boot-autostart\|T1547]] | Boot/Autostart | Persistência via servicos Windows | | [[t1113-screen-capture\|T1113]] | Screen Capture | Backdoor PLATINUM captura screenshots periodicos | ## Vitimas e Alvos O [[g0068-platinum]] demonstrou foco em alvos de alto valor na Asia: - **Entidades diplomaticas na India**: Embaixadas, ministerio de relacoes exteriores - **Organizacoes militares no Sri Lanka**: Estruturas de defesa e segurança nacional - **Entidades governamentais na Indonesia**: Agencias de governo e segurança nacional - **Setor de tecnologia na China**: Empresas de tecnologia com acesso a pesquisa estratégica O grupo demonstrou preferência por alvos com acesso a informações diplomaticas e de segurança nacional, consistente com motivacao de espionagem estatal. ## Relevância LATAM O impacto direto para o Brasil e LATAM e nulo dado o foco geografico na Asia. No entanto: > [!latam] Contexto Brasil e LATAM > A técnica de **esteganografia HTML para C2** documentada na EasternRoppels representa uma evolução que pode ser adotada por qualquer grupo APT avancado. Grupos que operam em LATAM com motivacao de espionagem estatal - como os que visam o Itamaraty e o Ministerio da Defesa brasileiro - podem adaptar técnicas similares. O uso de **servicos cloud legitimos como Dropbox, Google Drive e OneDrive como C2** já foi observado em campanahas contra alvos brasileiros em 2024-2025. ## Mitigação e Detecção - **Inspecao de conteudo HTTP/HTTPS de saida** para detectar padroes incomuns de whitespace em respostas HTML - **Restricao de acesso a servicos cloud nao-autorizados** (Dropbox, Google Drive) em endpoints corporativos - **Análise de comportamento de rede**: Acesso periodico e automatizado a URLs fixas no Dropbox e indicador de C2 - **EDR com detecção comportamental** para identificar processos fazendo requisicoes HTTP periodicas - **Restricao de comunicação de saida** para listas de permitidos de domínios e servicos cloud autorizados - Aplicar [[m1031-network-intrusion-prevention]] e [[m1030-network-segmentation]] ## Referências - [Kaspersky - EasternRoppels Analysis (Out 2019)](https://securelist.com/platinum-is-back/94535/) - [Microsoft - PLATINUM Activity Group Report (2016)](https://download.microsoft.com/download/2/2/5/225BFE3E-E1DE-4F5B-A77B-71200928D209/Platinum-feature-article.pdf) - [MITRE ATT&CK - PLATINUM (G0068)](https://attack.mitre.org/groups/G0068/)