# Operation MgBot - Daggerfly Compromete Tencent QQ 2022 > [!medium] Campanha de Espionagem - Supply Chain via Aplicativo de Mensagens > Campanha do grupo Daggerfly (Bronze Highland, APT41 affiliate) usando o instalador trojanizado do Tencent QQ como vetor de distribuição do backdoor MgBot. Documentada pela Symantec em 2023, a campanha visou organizações governamentais e de telecomúnicações em Taiwan e Hong Kong via um aplicativo de mensagens usado por centenas de milhões de usuários. ## Visão Geral A **Operation MgBot via Tencent QQ 2022** representa uma operação de supply chain attack sofisticada do grupo [[g1034-daggerfly|Daggerfly]] - comprometendo o processo de atualização do Tencent QQ, um dos aplicativos de mensagens mais usados na China e em comunidades de língua chinesa globalmente. O [[g1034-daggerfly|Daggerfly]] (também rastreado como Bronze Highland e considerado um cluster do [[g0096-apt41|APT41]]) injetou seu backdoor [[s1146-mgbot|MgBot]] no sistema de atualização do Tencent QQ, aproveitando que o aplicativo faz atualizações automáticas em background. Alvos específicos nas organizações-alvo receberam uma versão trojanizada do instalador de atualização, que instalava o MgBot silenciosamente enquanto o QQ atualizava normalmente. Esta campanha é notável por explorar a confiança implícita que usuários têm em atualizações de aplicativos amplamente usados - um vetor semelhante ao [[cyberlink-supply-chain-2023|CyberLink Supply Chain 2023]] (também atribuído ao Daggerfly). O foco geopolítico no Taiwan e Hong Kong é consistente com o mandato de espionagem estatal do grupo, voltado para alvos de interesse estratégico para a China continental. O [[s1146-mgbot|MgBot]] implantado nestas campanhas é um backdoor modular com capacidades de: - Keylogging e captura de screenshots - Captura de audio (microfone) - Exfiltração de arquivos por extensão e tamanho - Coleta de senhas armazenadas em navegadores - Acesso remoto completo ao sistema comprometido **Plataformas:** Windows ## Cadeia de Infecção ```mermaid graph TB A["🏢 Daggerfly compromete<br/>infraestrutura Tencent QQ<br/>servidor de atualização"] --> B["📦 Instalador QQ trojanizado<br/>com MgBot embutido<br/>atualização automática"] B --> C["👥 Usuário-alvo recebe<br/>atualização silenciosa<br/>QQ funciona normalmente"] C --> D["💾 MgBot instalado<br/>como serviço Windows<br/>sem interação do usuário"] D --> E["📡 Conexão ao C2<br/>aguarda comandos<br/>do operador Daggerfly"] E --> F["🔍 Espionagem ativa<br/>keylogging, screenshots<br/>exfiltração de documentos"] ``` **Perfil de alvo e foco geopolítico:** ```mermaid graph TB A["🎯 Foco Daggerfly 2022"] A --> B["🏛️ Taiwan<br/>governo, forças armadas<br/>indústria de semicondutores"] A --> C["🌆 Hong Kong<br/>ativistas pró-democracia<br/>organizações de mídia"] A --> D["📡 Telecom APAC<br/>operadoras de rede<br/>infraestrutura de comúnicação"] B --> E["Objetivo: inteligência<br/>geopolítica e industrial<br/>para governo chinês"] C --> E D --> E ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Compromise Software Supply Chain | Trojanização do sistema de atualização do Tencent QQ | | [[t1056-001-keylogging\|T1056.001]] | Keylogging | Captura de teclas via módulo MgBot | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | C2 via HTTPS imitando tráfego legítimo | | [[t1027-obfuscated-files\|T1027]] | Obfuscated Files or Information | MgBot empacotado com técnicas anti-análise | | [[t1119-automated-collection\|T1119]] | Automated Collection | Coleta de documentos por extensão de forma automática | ## MgBot - Capacidades Técnicas O **MgBot** é o backdoor de espionagem principal do Daggerfly com arquitetura modular: **Módulos documentados:** - `keylog.dll` - Keylogger: captura de todas as teclas digitadas - `screenshot.dll` - Captura de tela: screenshots periódicos ou on-demand - `audio.dll` - Captura de audio: gravação via microfone - `browser.dll` - Coleta de credenciais armazenadas em Chrome, Firefox, Edge - `filesearch.dll` - Busca e exfiltração de arquivos por tipo (`.doc`, `.pdf`, `.xls`, etc.) - `persistence.dll` - Garante reinicialização via serviço ou registro A arquitetura modular permite ao operador carregar apenas os módulos necessários para cada alvo, reduzindo a footprint nos sistemas comprometidos e dificultando detecção. ## Contexto: Daggerfly e o Ecossistema Supply Chain Chinês O Daggerfly demonstra um padrão de supply chain attacks que os pesquisadores associam a atores com nexo estatal chinês: 1. **CyberLink 2023**: Trojanização do instalador CyberLink para alvos no Japão/Taiwan (mesmo grupo) 2. **MgBot via QQ 2022**: Esta campanha 3. **VPNFilter 2018** (diferentes atores): Compromisso de dispositivos de rede O padrão sugere acesso ou capacidade de comprometer infraestrutura de atualização de software de fornecedores específicos - possívelmente via intrusão nos ambientes de desenvolvimento/build dos fornecedores ou via pressão legal/coerção sobre empresas baseadas na China. ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > O Brasil tem a maior diáspora chinesa da América Latina. Funcionários de empresas brasileiras com operações na China que usam Tencent QQ para comunicação com parceiros locais podem ter sido expostos. O modelo de comprometimento de atualizadores de software popular é diretamente replicável em qualquer aplicativo com base de usuários no Brasil. A relevância direta desta campanha para o Brasil é limitada pelo foco no mercado de língua chinesa. No entanto, há pontos de conexão: 1. **Comunidade chinesa no Brasil**: O Brasil tem a maior diáspora chinesa da América Latina. Organizações brasileiras com funcionários de origem chinesa que usam Tencent QQ para comunicação com familiares ou parceiros podem ter sido expostas 2. **Empresas com parceiros chineses**: Corporações brasileiras com joint ventures ou parcerias comerciais na China frequentemente têm funcionários usando QQ como canal de comunicação com parceiros locais 3. **Padrão replicável**: O modelo de comprometimento de atualizadores de software popular é diretamente aplicável a qualquer software com base de usuários no Brasil Equipes de segurança em empresas brasileiras com operações na China devem auditar instalações do Tencent QQ e verificar se a versão em uso corresponde ao hash oficial. ## Detecção **Indicadores de comprometimento:** - Processo de serviço Windows não reconhecido iniciado após atualização do Tencent QQ - Arquivo DLL em `%APPDATA%\Tencent\QQ\` que não pertence à instalação padrão do QQ - Processo fazendo captura de audio ou keystroke via API Windows (GetAsyncKeyState) **Fontes de dados:** - **Sysmon Event ID 7 (ImageLoaded):** DLLs não assinadas carregadas por processo do QQ - **Sysmon Event ID 11 (FileCreate):** Criação de arquivos suspeitos durante atualização - **EDR:** Comportamento de keylogging por processo de aplicativo de mensagens **Regras de detecção:** - Sigma: `proc_creation_win_tencent_qq_suspicious_child.yml` - YARA: MgBot - strings e estruturas de módulo documentadas pela Symantec ## Referências - [1](https://www.symantec.com/blogs/threat-intelligence/daggerfly-espionage-targets-individuals-within-china) Symantec - Daggerfly: Espionagem via Tencent QQ (2023) - [2](https://attack.mitre.org/groups/G1034/) MITRE ATT&CK - Daggerfly (G1034) - [3](https://attack.mitre.org/techniques/T1195/002/) MITRE ATT&CK - Supply Chain Compromise T1195.002 - [4](https://www.welivesecurity.com/en/eset-research/daggerfly-updated-arsenal/) ESET - Daggerfly Updated Arsenal Analysis (2024)