operation-monsoon - RunkIntel

# Operation Monsoon > [!info] Visão Geral > **Operation Monsoon** e uma campanha de espionagem de longo prazo conduzida pelo grupo indiano [[g0040-patchwork]] (também conhecido como APT-Q-36, Dropping Elephant e Operation Hangover). Ativa desde pelo menos 2015, a campanha tem como alvos principais autoridades governamentais, diplomaticos e pesquisadores academicos em paises como China, Paquistao, Bangladesh e Sri Lanka. O grupo utiliza spear-phishing altamente personalizado com documentos isca relacionados a politica regional sul-asiatica. ## Visão Geral A Operation Monsoon é a designação consolidada para uma série de campanhas de espionagem de longo prazo conduzidas pelo grupo indiano [[g0040-patchwork]] (também rastreado como APT-Q-36, Dropping Elephant e Operation Hangover). Ativa desde pelo menos 2015, a campanha tem alvos principais em países do Sul e Sudeste Asiático — especialmente China, Paquistão, Bangladesh e Sri Lanka — focando em autoridades governamentais, diplomatas, militares, think-tanks e pesquisadores acadêmicos com acesso a informações sensíveis sobre política regional sul-asiática e assuntos militares. A abordagem técnica do [[g0040-patchwork]] é notável por sua eficácia apesar da relativa simplicidade: o grupo usa spear-phishing altamente contextualizado com documentos isca sobre questões geopolíticas (disputas de fronteira, cooperação militar, acordos regionais) para enganar vítimas de alto perfil. O [[s0128-badnews]] é o backdoor principal, com uma característica inovadora para evasão: usa feeds RSS e plataformas de blog legítimas (Blogspot, WordPress) como canal de C2, embutindo comandos em posts aparentemente inócuos. Essa técnica torna o tráfego C2 práticamente indistinguível de navegação web normal. O [[s0131-tinytyphon]] serve como loader inicial leve antes da instalação do BADNEWS. Para o Brasil e a [[brazil|comunidade de inteligência brasileira]], a Operation Monsoon representa o padrão de atuação de um grupo APT de médio porte de economia emergente — demonstrando que países que não são superpotências cibernéticas (EUA, China, Rússia) podem desenvolver e sustentar capacidades APT persistentes e eficazes. O modelo de Patchwork — recursos moderados, técnicas maduras, foco geográfico regional — é um arquétipo relevante para avaliar possíveis ameaças de atores estatais vizinhos ao Brasil no contexto sul-americano. ## Attack Flow ```mermaid graph TB A["🎣 Spear-Phishing Documentos Word/PDF isca com tema geopolitico"] --> B["📎 Execução de Macro VBA ou exploit em documento malicioso"] B --> C["📦 Dropper de Primeiro Estagio TINYTYPHON ou QuickHeal implantado"] C --> D["🔗 Estabelece Persistência Registro e tarefas agendadas"] D --> E["🕵️ Reconhecimento Coleta de arquivos, credenciais, capturas de tela"] E --> F["📡 C2 via BADNEWS RSS + Blogspot como canal de comúnicação"] F --> G["📤 Exfiltração Documentos sensiveis, credenciais diplomaticas"] ``` **Legenda de atores e ferramentas:** [[g0040-patchwork]] usa [[s0128-badnews]] como backdoor principal e [[s0131-tinytyphon]] como loader inicial. Comúnicação C2 via feeds RSS abusados em plataformas legitimas (Blogspot, WordPress). ## Cronologia | Período | Evento | |---------|--------| | 2015 | Primeiras atividades documentadas - foco em alvos paquistaneses | | 2016 | Expansion para alvos chineses - documentado pela Cymru/Umbreon | | 2016-2017 | Operação nomeada "Dropping Elephant" pela Kaspersky | | 2017 | Unit 42 documenta uso de BADNEWS com C2 via RSS | | 2018 | Ataques a think tanks em India e Bangladesh | | 2020-2021 | Reativacao com novos lures COVID-19 e politica regional | | 2023-2024 | Campanha direcionada a China com documentos sobre Mar do Sul da China | ## TTPs Documentadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-Phishing com Anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word com macros VBA ou exploits RTF | | Execução de Arquivo Malicioso | [[t1204-002-malicious-file\|T1204.002]] | Vitima abre documento isca para ativar payload | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts PS para download e execução de estagios subsequentes | | Transferencia de Ferramenta | [[t1105-ingress-tool-transfer\|T1105]] | Download de implantes via BADNEWS C2 | | Descoberta de Sistema | [[t1082-system-information-discovery\|T1082]] | Fingerprinting do ambiente vitima antes da exfiltração | | Persistência via Registro | [[t1547-001-registry-run-keys\|T1547.001]] | Run keys para sobreviver a reinicializacao | ## Vitimas Documentadas - **Governo chines**: diplomaticos, funcionarios do Ministerio das Relacoes Exteriores - **Forcas Armadas do Paquistao**: militares e agencias de inteligência - **Think tanks sul-asiaticos**: institutos de politica externa em India, Bangladesh e Sri Lanka - **Academia**: pesquisadores de relacoes internacionais com foco em geopolitica sul-asiatica - **Organizacoes internacionais**: ONGs e grupos de monitoramento de conflitos regionais ## Relevância para LATAM e Brasil Embora Operation Monsoon nao tenha alvos diretos no Brasil ou LATAM, a campanha e relevante por: 1. **Modelo de ataque replicavel**: O uso de C2 via plataformas legitimas (RSS/Blogspot) e uma técnica que grupos regionais latam-americanos tem adotado para evadir detecção 2. **Alvos diplomaticos**: Embaixadas brasileiras em regiao sul-asiatica poderiam ser vetores de infecção colateral em redes diplomaticas 3. **Precedente de spear-phishing geopolitico**: Grupos como [[g0134-transparent-tribe]] usam técnicas similares que afetam alvos associados ao Brasil ```mermaid graph TB subgraph "Impacto Regional" A["Asia do Sul (Alvo Principal)"] --> B["China Diplomaticos"] A --> C["Paquistao Militares"] A --> D["Bangladesh Governo"] end subgraph "Relevância Indireta LATAM" E["Embaixadas LATAM na Asia do Sul"] --> F["Risco Colateral em Redes Diplomaticas"] G["Técnicas Replicadas por grupos LATAM"] --> H["Espionagem Regional com C2 via RSS"] end ``` ## Mitigação - **Desabilitar macros Office** em ambientes governamentais e diplomaticos - [[m1040-behavior-prevention-on-endpoint|M1040]] - **Email Gateway com sandboxing** para inspecionar documentos RTF e DOCX antes da entrega - [[m1021-restrict-web-based-content|M1021]] - **Treinamento de phishing** com foco em lures de politica externa e temas regionais - [[m1017-user-training|M1017]] - **Monitorar conexoes a feeds RSS externos** de hosts sensiveis - especialmente Blogspot/WordPress como possiveis canais C2 - **Segmentacao de rede** para diplomaticos e pesquisadores com acesso a informações sensiveis ## Referências - [1](https://unit42.paloaltonetworks.com/unit42-patchwork-cyberespionage-group-expands-targets-governments-wide-range-industries/) Unit 42 (Palo Alto) - Patchwork Cyberespionage Group: BADNEWS RAT and TTPs (2017) - [2](https://securelist.com/patchwork-apt-group/77499/) Kaspersky Securelist - Dropping Elephant/Patchwork Group Analysis (2016) - [3](https://blog.talosintelligence.com/2018/03/patchwork-apt-targeting-us-think-tanks.html) Talos Intelligence - Patchwork Targeting Think Tanks with BADNEWS (2018) - [4](https://attack.mitre.org/groups/G0040/) MITRE ATT&CK - Patchwork Group Profile (G0040) - [5](https://www.trendmicro.com/en_us/research/17/d/operation-patchwork-cyberespionage-group-develops-in-house-tools.html) Trend Micro - Operation Patchwork: In-House Tool Development (2017)