# Transparent Tribe India Campaigns > [!high] Espionagem Paquistanesa Persistente Contra India > As campanhas do **Transparent Tribe** (APT36) contra a India representam uma das operações de ciberespionagem mais persistentes e prolíficas da Asia do Sul, ativas desde 2013 com atividade confirmada até 2026. O grupo, com nexo no Paquistao, utiliza o **Crimson RAT** e o **CapraRAT** para comprometer militares, governamentais, academicos e startups indianas em operações continuas de espionagem motivadas por conflito geopolitico. ## Visão Geral O [[g0134-transparent-tribe]] (também denominado APT36, PROJECTM ou Mythic Leopard) e um grupo de ameaça avancado com nexo no Paquistao, considerado pela comunidade de inteligência como vinculado ao Inter-Services Intelligence (ISI) paquistanes. O grupo opera ha mais de uma decada com foco quase exclusivo em alvos indianos, motivado pelo conflito geopolitico persistente entre India e Paquistao, incluindo disputas territoriais em Caxemira. O arsenal primario do grupo e o [[s0115-crimson-rat]] - um RAT customizado desenvolvido exclusivamente pelo Transparent Tribe que evoluiu continuamente desde sua primeira identificação. O Crimson RAT oferece capacidades completas de acesso remoto: captura de tela, keylogging, download/upload de arquivos, acesso a webcam e microfone, exfiltração de dados e execução de comandos. O grupo também desenvolveu o [[capra-rat]], uma versao Android do Crimson RAT para comprometer dispositivos moveis de alvos indianos. Os vetores de infecção evoluiram ao longo dos anos: inicialmente baseados em documentos Office com macros VBA, o grupo migrou para arquivos ISO/IMG (para contornar Mark-of-the-Web), arquivos LNK disfarçados, instaladores HTA e, mais recentemente, aplicativos Android maliciosos públicados em lojas nao-oficiais com iscos militares e de relacionamento. A campanha demonstra como um grupo estatal de capacidade media pode manter espionagem persistente por mais de uma decada através de persistência operacional, adaptacao continua de TTPs e uso extensivo de infraestrutura renovada para evitar blocklists. As vitimas confirmadas incluem pessoal militar, funcionarios governamentais, estudantes universitarios com acesso a pesquisas estratégicas e startups de tecnologia de defesa. ## Attack Flow ```mermaid graph TB A["🎯 Alvo: Pessoal Militar<br/>Funcionarios Governo India<br/>Academicos e startups"] --> B["📧 Spear-phishing<br/>ISO/LNK/HTA ou APK<br/>Iscos militares/romantismo"] B --> C["⚙️ Execução do Payload<br/>ISO montado, LNK executado<br/>ou APK instalado"] C --> D["💧 Crimson RAT<br/>ou CapraRAT (Android)<br/>Backdoor completo"] D --> E["🔗 C2 via HTTP/HTTPS<br/>Servidores frequentemente<br/>renovados para evasão"] E --> F["🔍 Reconhecimento<br/>Documentos estratégicos<br/>Comúnicacoes e contatos"] F --> G["📦 Exfiltração<br/>Documentos classificados<br/>e dados pessoais"] G --> H["🔄 Persistência Longa<br/>Acesso mantido por<br/>meses ou anos"] ``` ### Evolução do Arsenal ```mermaid graph TB A["APT36 - Evolução de TTPs"] --> B["2013-2016<br/>Documentos Office + VBA<br/>Crimson RAT inicial"] A --> C["2017-2020<br/>Melhorias no Crimson RAT<br/>Watering holes + phishing"] A --> D["2021-2023<br/>ISO/LNK delivery<br/>CapraRAT Android"] A --> E["2024-2026<br/>HTA + LNK + APK<br/>Startups e educacao India"] B --> F["Alvos iniciais:<br/>Militares e governo<br/>India e Afeganistao"] E --> G["Alvos recentes:<br/>Startups de defesa<br/>Estudantes universitarios"] ``` ## Cronologia | Data | Evento | |------|--------| | 2013-01 | Primeiras campanhas Transparent Tribe identificadas contra alvos indianos | | 2016-02 | ProofPoint documenta o grupo como PROJECTM em análise de spear-phishing | | 2018-Q1 | MITRE nomeia formalmente como APT36; Crimson RAT versao 2 identificado | | 2020-09 | Cisco Talos documenta CapraRAT - versao Android do Crimson RAT | | 2021-Q2 | Migracao para entregas via ISO/IMG para contornar Mark-of-the-Web | | 2022-04 | Sentinel One documenta campanhas contra estudantes universitarios e startups indianas | | 2023-07 | ESET reporta novas campanhas com LNK e HTA contra militares indianos | | 2024-2026 | Atividade continua confirmada - grupo considerado ativo e persistente | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Spear-phishing com iscos militares, romantismo e oportunidades de emprego | | [[t1204-user-execution\|T1204]] | User Execution | Montagem de ISO, execução de LNK e instalacao de APK | | [[t1059-command-scripting-interpreter\|T1059]] | Command Scripting | VBScript, PowerShell e HTA para execução de payloads | | [[t1036-masquerading\|T1036]] | Masquerading | Arquivos LNK e APK disfarçados como documentos e apps legitimos | | [[t1071-application-layer-protocol\|T1071]] | Application Layer | C2 via HTTP/HTTPS; CapraRAT usa Firebase como C2 auxiliar | | [[t1547-boot-autostart\|T1547]] | Boot/Autostart | Persistência via registro e agendadores de tarefas | | [[t1113-screen-capture\|T1113]] | Screen Capture | Crimson RAT captura screenshots periodicos de alta resolução | ## Vitimas e Alvos O [[g0134-transparent-tribe]] demonstra foco quase exclusivo em alvos indianos e afeganes: - **Pessoal militar indiano**: Soldados, oficiais e funcionarios civis do Ministerio da Defesa - **Funcionarios governamentais**: Servidores de ministerios indianos estratégicos - **Estudantes universitarios**: Alunos de engenharia, defesa e relacoes internacionais - **Startups de tecnologia de defesa**: Empresas indianas no ecossistema de defesa e aeroespacial - **Midia e jornalistas**: Jornalistas cobrindo India-Paquistao e Caxemira Volumes confirmados: mais de 1.900 enderecos de e-mail indianos comprometidos documentados pela Cisco Talos em 2020. ## Relevância LATAM O impacto direto para o Brasil e LATAM e nulo dado o foco geografico na Asia do Sul. No entanto: > [!latam] Contexto Brasil e LATAM > O modelo do APT36 - espionagem estatal de longo prazo motivada por conflito geopolitico bilateral - e analogo ao **Blind Eagle** (APT-C-36) que opera em LATAM. Ambos os grupos manteem operações persistentes por anos contra alvos específicos, utilizam RATs customizados com desenvolvimento continuo e adaptam TTPs para contornar deteccoes. O Brasil também possui adversarios regionais com motivacao similar, tornando a compreensao do modelo operacional do APT36 relevante para defesa de organizacoes governamentais brasileiras. ## Mitigação e Detecção - **Desabilitar montagem automatica de arquivos ISO/IMG** em endpoints Windows - **Restricao de execução de LNK** de fontes externas e downloads nao-autorizados - **Politica de instalacao de APK Android** restrita a Google Play Store gerenciada para dispositivos corporativos - **Monitoramento de trafego C2** para padroes HTTP/HTTPS periodicos do Crimson RAT - **Detecção de CapraRAT** via MDM corporativo - monitorar permissoes de microfone/camera em apps desconhecidos - Aplicar [[m1049-antivirus-endpoint-protection]], [[m1031-network-intrusion-prevention]] e [[m1022-restrict-file-and-directory-permissions]] ## Referências - [Cisco Talos - CapraRAT Analysis (2020)](https://blog.talosintelligence.com/2020/09/apt36-update.html) - [SentinelOne - APT36 Education Campaigns (2022)](https://www.sentinelone.com/labs/transparent-tribe-apt36-india/) - [MITRE ATT&CK - APT36 (G0134)](https://attack.mitre.org/groups/G0134/) - [Proofpoint - PROJECTM Report (2016)](https://www.proofpoint.com/us/threat-insight/post/operation-transparent-tribe) - [ESET - APT36 2023 Activity](https://www.welivesecurity.com/en/eset-research/transparent-tribe-apt36-india-2023/)