operation-pitty-tiger

# Operation Pitty Tiger > [!high] Espionagem de longa duracao contra defesa e telecomúnicacoes - ativo desde 2011 > A Operation Pitty Tiger e uma campanha de espionagem cibernetica atribuida ao grupo chines [[g0011-pittytiger]], documentada pela Airbus Defence and Space em julho de 2014. Ativa desde pelo menos 2011, a campanha utilizou um RAT customizado denominado PittyTiger, variantes do [[gh0st-rat]] e ferramentas de suporte para comprometer alvos nos setores de defesa, telecomúnicacoes e governo. ## Visão Geral A Operation Pitty Tiger recebeu seu nome em referência ao binario principal do RAT utilizado pelos atacantes - o PittyTiger RAT - cujo código fonte continha referências internas ao nome "Pitty Tiger". O relatorio tecnico públicado pela Airbus D&S em julho de 2014 foi significativo por documentar em detalhes os TTPs de um grupo APT chines com operações de longa data que haviam passado relativamente desapercebidas pela comunidade de segurança até aquele momento. O grupo por tras da campanha, identificado como [[g0011-pittytiger]] pela CrowdStrike, demonstrou capacidades técnicas solidas: desenvolvimento de ferramentas customizadas, uso criterioso de spear phishing com documentos armados com exploits de dia-zero e N-dias, e manutenção de infraestrutura de C2 estavel por varios anos. A duracao estimada de mais de tres anos de atividade sem detecção pública indica um nivel de disciplina operacional relevante. O diferencial operacional da campanha foi a combinacao de um RAT desenvolvido internamente (PittyTiger) com ferramentas de apoio mais amplamente utilizadas em campanhas chinesas da epoca: o [[gh0st-rat]] em variante modificada denominada Paladin, e o CT RAT. Esta combinacao sugeria uma operação com capacidade de desenvolvimento propria, mas disposta a reutilizar ferramentas consolidadas quando conveniente. O setor alvo principal era defesa e aeronautica - com indicios de comprometimento de contratados de defesa franceses e europeus - tornando esta campanha relevante para entender o perfil de risco de organizacoes da base industrial de defesa (BID) e empresas de telecomúnicacoes com contratos internacionais. ## Como a Campanha Funcionou ```mermaid graph TB A["Reconhecimento Identificação de alvos em defesa e telecomúnicacoes via OSINT"] --> B["Spear phishing E-mail com documento Word ou RTF Exploitando CVE-2012-0158"] B --> C["Execução do dropper Documento abre normalmente Payload executado em background"] C --> D["PittyTiger RAT instalado Ou CT RAT / Paladin Gh0st Persistência via servico Windows"] D --> E["Beaconing para C2 Protocolo customizado cifrado XOR Infra em multiplos paises"] E --> F["Reconhecimento da rede Enumeracao de hosts e usuarios Mapeamento de compartilhamentos"] F --> G["Movimento lateral Pass-the-hash com hashes NTLM Acesso a sistemas de engenharia"] G --> H["Exfiltração de PI Documentos tecnicos de defesa Propriedade intelectual critica"] ``` **Vetores de acesso inicial:** Os atacantes utilizavam spear phishing com documentos RTF e Word armados com exploits para vulnerabilidades do Microsoft Office, notadamente o [[cve-2012-0158|CVE-2012-0158]] (Microsoft MSCOMCTL.OCX ActiveX Buffer Overflow). E-mails eram redigidos para parecerem comúnicacoes legitimas de parceiros de negocio ou agencias governamentais relevantes para os alvos. **Arsenal de malware:** A campanha utilizou tres familias de malware complementares. O PittyTiger RAT era a ferramenta principal, desenvolvida pelo proprio grupo com capacidades de acesso remoto completo. O CT RAT funcionava como ferramenta de acesso remoto adicional para fases de persistência. O Paladin era uma variante modificada do [[gh0st-rat]], RAT de código aberto amplamente usado por grupos APT chine ses. ## Capacidades do PittyTiger RAT | Capacidade | Detalhe | |---|---| | Acesso remoto | Shell interativo completo via C2 cifrado | | Transferencia de arquivos | Upload e download bidirecional | | Keylogging | Captura de teclado persistente | | Captura de tela | Screenshots sob demanda ou periodicos | | Listagem de processos | Enumeracao e encerramento de processos | | Acesso ao registro | Leitura e escrita no registro Windows | | Coleta de senhas | Extração de credenciais armazenadas | | Reverse shell | Shell reverso para contornar firewalls | **Caracteristicas técnicas:** - Comúnicação C2 via protocolo customizado com XOR para cifragem - Multiplos mecanismos de persistência: servico, chave Run, DLL hijacking - Capacidade de atualizar-se remotamente via comando C2 - Identificador único por vitima para rastreamento individualizado ## TTPs Mapeadas ```mermaid graph LR IA["Initial Access T1566 Spear Phishing"] --> EX["Execution T1203 Exploit Client App"] EX --> PERS["Persistence T1543 Windows Service"] PERS --> CA["Credential Access T1003 OS Credential Dump"] CA --> LM["Lateral Movement T1550 Pass-the-Hash"] LM --> COL["Collection T1005 Local Data"] COL --> EXF["Exfiltration T1041 Over C2"] ``` | Fase | Técnica MITRE | Detalhe | |---|---|---| | Initial Access | T1566.001 - Spear Phishing Attachment | RTF/DOC com CVE-2012-0158 e CVE-2014-1761 | | Execution | T1203 - Exploitation Client App | Exploit via vulnerabilidade do Microsoft Office | | Persistence | T1543.003 - Windows Service | RAT instalado como servico Windows | | Defense Evasion | T1036 - Masquerading | Nomes de processo imitando componentes Windows | | Credential Access | T1003 - OS Credential Dumping | Coleta de hashes NTLM para pass-the-hash | | Lateral Movement | T1550.002 - Pass-the-Hash | Uso de hashes NTLM para acesso a sistemas internos | | Collection | T1005 - Data from Local System | Documentos tecnicos e de propriedade intelectual | | Exfiltration | T1041 - Exfiltration Over C2 Channel | Canal C2 customizado cifrado com XOR | ## Contexto e Atribuicao O relatorio da Airbus D&S (julho 2014) foi detalhado em sua análise técnica, fornecendo amostras de código, indicadores de comprometimento e descrição do protocolo C2. Os indicadores de origem chinesa incluiam: - Strings em chines simplificado no código do malware - Infraestrutura de C2 em provedores chine ses e de Hong Kong - Padrao de horarios de operação compativel com fuso UTC+8 - Alvos consistentes com prioridades estratégicas de inteligência chinesa: aeronautica, defesa, telecomúnicacoes - Uso de ferramentas comuns ao ecossistema APT chines, incluindo variantes do [[gh0st-rat]] e exploits de Office amplamente empregados por outros grupos O grupo foi designado [[g0011-pittytiger]] pela CrowdStrike, embora seja menos documentado públicamente que grupos chine ses mais prolicos como [[g0006-apt1]] ou [[g0045-apt10]]. ## Detecao e Defesa **Para setores de defesa e telecomúnicacoes:** 1. **Patch prioritario do Microsoft Office** - O CVE-2012-0158 foi um dos vetores primarios; patches foram disponibilizados pela Microsoft mas frequentemente nao aplicados em ambientes legados de defesa com sistemas criticos 2. **Sandboxing de documentos** - Todo anexo RTF e Word externo deve ser analisado antes da entrega; estes formatos tem historico consistente de uso como vetores de entrega de exploits 3. **Detecao de PittyTiger** - Monitorar trafego cifrado XOR de baixo volume em portas nao padrao; padroes de beaconing periodico regulares 4. **Proteção contra pass-the-hash** - Desativar autenticação NTLM onde possível; implementar Protected Users group no Active Directory para contas privilegiadas 5. **Monitoramento de servicos** - Alertas para criação de novos servicos Windows nao autorizados 6. **Segmentacao de sistemas de engenharia** - Sistemas de CAD, PDM e documentacao técnica devem estar em VLANs isoladas sem acesso direto a internet > [!ioc]- IOCs - Operation Pitty Tiger (TLP:GREEN) > **Hashes (MD5) - amostras documentadas Airbus 2014:** > `d31c215e2e69f05f1b5e37a8049a5a47` - PittyTiger RAT amostra > `a2b92192e3c61cfca048782a3d2cffcd` - CT RAT amostra > > **Mutex do PittyTiger:** > `Pitty Tiger` > > **Portas C2 comuns:** > TCP/80, TCP/443 (tunel HTTP), TCP/8080 > > **Strings de identificação no binario:** > Referencia interna a `PittyTiger` e `gohacking` > > **Fontes:** [Airbus DS Report via Archive.org](https://web.archive.org/web/20150311013500/http://forensicmethods.com/wp-content/uploads/2014/07/Pitty-Tiger-Final-Report.pdf) - [MITRE ATT&CK APT24](https://attack.mitre.org/groups/G0006/) ## Referências - [1](https://web.archive.org/web/20150311013500/http://forensicmethods.com/wp-content/uploads/2014/07/Pitty-Tiger-Final-Report.pdf) Airbus Defence & Space - Operation Pitty Tiger Technical Report (2014) - [2](https://attack.mitre.org/groups/G0006/) MITRE ATT&CK - APT24 Group Profile (2023) - [3](https://www.crowdstrike.com/blog/meet-the-adversaries/) CrowdStrike - APT24 Adversary Overview (2014) - [4](https://www.welivesecurity.com/2014/07/30/operation-pitty-tiger/) ESET WeLiveSecurity - Operation Pitty Tiger Analysis (2014) - [5](https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/pitty-tiger) Trend Micro - PittyTiger RAT Encyclopedia Entry (2015)