operation-shrouded-crossbow

# Operation Shrouded Crossbow > [!warning] Campanha de Espionagem de Longa Duração - BlackTech > **Operation Shrouded Crossbow** foi uma campanha de espionagem cibernética conduzida pelo grupo [[g0098-blacktech]] contra entidades governamentais e empresas de tecnologia em Taiwan e Ásia-Pacífico durante pelo menos 6 anos (2010-2016). A operação utilizou versões privadas e customizadas do malware BIFROST, disponível originalmente como kit de construção de RAT, adaptado com técnicas de evasão avançadas para uso exclusivo do grupo. ## Visão Geral A Operation Shrouded Crossbow foi documentada pela Trend Micro em 2015 como uma das operações de longa duração do grupo [[g0098-blacktech]] (também rastreado como Circuit Panda, T-APT-03 e Huapi). O grupo é amplamente atribuído como ator de origem chinesa patrocinado por estado, com foco histórico em Taiwan, Japão e outros países da Ásia-Pacífico. O diferencial técnico da operação foi o uso de versões privadas e modificadas do [[bifrost]], um RAT originalmente público que o BlackTech transformou em ferramenta proprietária através de customizações extensas. O grupo desenvolveu ainda o [[s0437-kivars]] - uma variante de 32 e 64 bits do BIFROST com capacidades de backdoor expandidas - e o [[xbow]], que evoluiu o conjunto de ferramentas com recursos adicionais de pós-comprometimento. A campanha focou em agências governamentais taiwanesas, empresas de tecnologia com acesso a propriedade intelectual de alto valor, e organizações do setor de defesa regional. O vetor de acesso inicial predominante foi spear-phishing com documentos Office maliciosos temáticos relevantes para os alvos - documentos sobre políticas governamentais, relatórios do setor de tecnologia, e assuntos de interesse para organizações de defesa regional. O aspecto de longa duração é central para entender a Operation Shrouded Crossbow: o [[g0098-blacktech]] manteve acesso persistente a múltiplas organizações por períodos de meses a anos, coletando sistematicamente inteligência sobre políticas, capacidades tecnológicas e informações estratégicas de interesse para o governo chinês. A operação foi descontinuada ou transformada em novas campanhas a partir de 2016, quando o BlackTech evoluiu para técnicas mais sofisticadas incluindo comprometimento de roteadores. ## Attack Flow ```mermaid graph TB A["Reconhecimento Identificação de alvos em Taiwan e Ásia-Pacífico"] --> B["Spear-phishing Documentos Office com tema governamental e tecnológico"] B --> C["Execução do Dropper Documento abre normalmente BIFROST instalado em background"] C --> D["Persistência KIVARS registrado como serviço ou chave Run"] D --> E["Reconhecimento Interno Enumeração de hosts e credenciais de domínio"] E --> F["Dump de Credenciais Extração de hashes e senhas para movimento lateral"] F --> G["Exfiltração Documentos sensíveis via canal C2 criptografado"] ``` > **Ator:** [[g0098-blacktech]] | **Malware:** BIFROST, KIVARS, XBOW | **Período:** 2010-2016 ## Linha do Tempo ```mermaid timeline title Operation Shrouded Crossbow - Linha do Tempo 2010 : Início estimado da campanha - comprometimento inicial de alvos em Taiwan 2012 : Desenvolvimento do KIVARS - variante 64-bit do BIFROST 2014 : Expansão para alvos no Japão e outros países da Ásia-Pacífico 2015 : Trend Micro publica análise da Operation Shrouded Crossbow 2016 : BlackTech evolui para novas técnicas incluindo comprometimento de roteadores ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing com Anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office maliciosos enviados a alvos governamentais e tech | | Obfuscação de Arquivos | [[t1027-obfuscated-files-or-information\|T1027]] | BIFROST customizado com técnicas de evasão de AV | | Dump de Credenciais | [[t1003-os-credential-dumping\|T1003]] | Extração de credenciais para movimento lateral em redes corporativas | | Exfiltração via C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via canal C2 criptografado do BIFROST/KIVARS | | Execução via Scripts | [[t1059-001-powershell\|T1059.001]] | Scripts para configuração de persistência e reconhecimento | ## Arsenal de Malware **BIFROST:** RAT originalmente público transformado em ferramenta privada customizada pelo [[g0098-blacktech]]. Oferece acesso remoto completo, captura de tela, keylogging e exfiltração. As versões privadas do BlackTech incluíam técnicas de evasão não presentes na versão pública. **KIVARS:** Evolução do BIFROST desenvolvida específicamente pelo BlackTech. Disponível em versões 32-bit e 64-bit, com backdoor modular e capacidades expandidas de reconhecimento de rede. O nome "KIVARS" aparece em strings internas do binário. **XBOW:** Ferramenta de terceira geração da família, com recursos adicionais de pós-comprometimento e comunicação C2 aprimorada para evasão de monitoramento de rede. ## Vítimas e Impacto **Alvos confirmados ou prováveis:** - Agências governamentais taiwanesas - ministérios e órgãos regulatórios - Empresas de tecnologia taiwanesas com propriedade intelectual de alto valor - Organizações do setor de defesa e aeroespacial regional - Entidades governamentais japonesas (expansão a partir de 2014) **Dados comprometidos (estimativa):** - Documentos de política governamental e estratégia nacional - Propriedade intelectual de empresas de tecnologia - Informações sobre capacidades militares e de defesa taiwanesas - Comúnicações estratégicas entre organizações governamentais ## Relevância LATAM e Brasil A Operation Shrouded Crossbow não teve impacto direto no Brasil ou LATAM, mas oferece lições relevantes: - **BlackTech e presença global**: O [[g0098-blacktech]] expandiu gradualmente suas operações além de Taiwan e Japão. Em 2023, um advisory conjunto EUA-Japão alertou sobre comprometimento de roteadores pelo BlackTech como vetor para acesso a redes corporativas globais - incluindo subsidiárias de empresas com operações no Brasil - **Risco para subsidiárias**: Empresas brasileiras que são subsidiárias de multinacionais japonesas ou taiwanesas devem considerar o risco de comprometimento lateral via a rede corporativa global - exatamente o modelo documentado em operações posteriores do BlackTech - **RATs customizados**: A técnica de adaptar RATs públicos (BIFROST) em ferramentas proprietárias é amplamente usada por grupos que operam na LATAM, incluindo grupos de crime organizado cibernético. O padrão de customização e evasão é diretamente relevante para equipes de [[defense|defesa]] brasileiras ## Detecção e Defesa **Controles recomendados:** - Monitorar comúnicações de processos suspeitos via [[m1031-network-intrusion-prevention|M1031]] - Implementar [[m1049-antivirus-antimalware|M1049]] atualizado - variantes customizadas de BIFROST podem ter assinaturas desconhecidas - Aplicar [[m1042-disable-or-remove-feature-or-program|M1042]] - desabilitar macros Office por política corporativa - Restringir criação de serviços Windows por contas de usuário via [[m1026-privileged-account-management|M1026]] **Indicadores comportamentais:** - Processos Office criando arquivos executáveis em diretórios de sistema - Comúnicação de saída periódica (beaconing) para domínios não categorizados - Criação de novos serviços Windows não associados a software corporativo aprovado - Dump de memória do processo LSASS ou acesso à SAM registry hive **Monitorar via:** - [[ds-0009-process|DS-0009]] - Process Creation: filhos de aplicações Office - [[ds-0029-network-traffic|DS-0029]] - Network Traffic: padrões de beaconing periódico - [[ds-0019-service|DS-0019]] - Service Creation: novos serviços Windows não autorizados ## Referências - [1](https://www.trendmicro.com/en_us/research/15/k/shrouded-crossbow-a-secret-behind-bifrose-and-kivars.html) Trend Micro - Operation Shrouded Crossbow (2015) - [2](https://attack.mitre.org/groups/G0098/) MITRE ATT&CK - BlackTech Group Profile - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-193a) CISA/FBI/NSA/NPA - BlackTech Advisory AA23-193A (2023) - [4](https://www.welivesecurity.com/2020/05/13/operation-lagtime-it-targeted-government-information-technology-agencies-east-asia/) ESET - BlackTech Operations East Asia (2020)