operation-wocao - RunkIntel

# Operation Wocao ## Descrição A Operation Wocao foi uma campanha de espionagem cibernética documentada pela Fox-IT em dezembro de 2019, com atividade identificada de dezembro de 2017 a dezembro de 2019. A campanha visou organizações ao redor do mundo, incluindo no Brasil, China, França, Alemanha, Itália, México, Portugal, Espanha, Reino Unido e Estados Unidos - sendo especialmente notável por incluir o Brasil entre os alvos confirmados. Os atores, avaliados como APT20 com base na China, comprometeram organizações governamentais e provedores de serviços gerenciados (MSPs), além de empresas dos setores de aviação, construção, energia, finanças, saúde, seguros, engenharia offshore, desenvolvimento de software e transporte. A operação utilizou um toolkit extenso de ferramentas nativas e públicas - [[s0521-bloodhound|BloodHound]] para enumeração de Active Directory, [[mimikatz|Mimikatz]] para dump de credenciais LSASS ([[t1003-001-lsass-memory|T1003.001]]), [[s0357-impacket|Impacket]] para movimento lateral, e [[s0183-tor|Tor]] para anonimização de comúnicações C2 ([[t1573-002-asymmetric-cryptography|T1573.002]]). O uso predominante de ferramentas públicas (living off the land) dificultou a atribuição e detecção. O roubo de credenciais de gerenciadores de senhas ([[t1555-005-password-managers|T1555.005]]) e chaves privadas ([[t1552-004-private-keys|T1552.004]]) indicam sofisticação operacional e interesse em acesso de longo prazo. O nome da campanha ("Wocao" - "我操" em chinês, expressão de frustração) foi inspirado em uma entrada de linha de comando observada de um dos atores ao perder o acesso via webshell, revelando inadvertidamente o idioma nativo do operador. ## Impacto A campanha comprometeu organizações em 10 países, incluindo provedores de serviços gerenciados - o que multiplicou o alcance do grupo aos clientes desses MSPs. O uso de keylogging ([[t1056-001-keylogging|T1056.001]]), captura de credenciais de gerenciadores de senhas e coleta automatizada ([[t1119-automated-collection|T1119]]) indica exfiltração sistemática de dados de alto valor. A inclusão do Brasil entre os alvos confirmados é significativa para a inteligência de ameaças regional. ## Relevância LATAM/Brasil O Brasil é um dos países confirmados nos alvos da Operation Wocao, tornando esta campanha de relevância direta para a inteligência de ameaças brasileira. Organizações governamentais e provedores de serviços gerenciados (MSPs) brasileiros devem considerar a possibilidade de comprometimento histórico entre 2017-2019. O México também foi um alvo confirmado, reforçando o alcance da campanha na América Latina. A técnica de comprometimento de MSPs é especialmente relevante pois uma única intrusão pode afetar múltiplos clientes downstream - um vetor de supply chain frequentemente subestimado. ## Técnicas Utilizadas - [[t1012-query-registry|T1012 - Query Registry]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1555-005-password-managers|T1555.005 - Password Managers]] - [[t1552-004-private-keys|T1552.004 - Private Keys]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] ## Software Utilizado - [[s0104-netstat|netstat]] - [[s0521-bloodhound|BloodHound]] - [[mimikatz|Mimikatz]] - [[s0183-tor|Tor]] - [[s0645-wevtutil|Wevtutil]] - [[s0194-powersploit|PowerSploit]] - [[s0105-dsquery|dsquery]] - [[psexec|PsExec]] - [[s0357-impacket|Impacket]] --- --- *Fonte: [MITRE ATT&CK - C0014](https://attack.mitre.org/campaigns/C0014)* *Fonte: Fox-IT - "Operation Wocao: Shining a light on one of China's hidden hacking groups" (Dezembro 2019)*