# APT24 > [!high] Grupo de espionagem chinês ativo desde 2008 > APT24, também rastreado como Pitty Panda, é um ator de ameaça com nexo na República Popular da China especializado em campanhas de espionagem cibernética de longo prazo contra Taiwan, governos e organizações não-governamentais. O grupo evoluiu significativamente suas táticas ao longo dos anos, adotando ataques multi-vetor com malware sofisticado como o BADAUDIO. > [!latam] Relevância para o Brasil e América Latina > O APT24 foca primariamente na região Indo-Pacífico, sem histórico documentado na América Latina. Entretanto, organizações brasileiras com cadeias de suprimento globais de TI, relações comerciais com Taiwan ou fornecedores de tecnologia para o mercado asiático devem considerar o grupo como risco indireto. A técnica de comprometer fornecedores intermediários usada pelo APT24 é altamente relevante para o contexto de segurança corporativa no Brasil. ## Visão Geral O APT24 é um grupo de ameaça persistente avançada com nexo na **China**, ativo desde pelo menos 2008. Também conhecido como **Pitty Panda** e **Pitty Tiger**, o grupo é rastreado sob o identificador **G0011** no framework MITRE ATT&CK. Seu principal objetivo é coleta de inteligência estratégica em suporte aos interesses geopolíticos do governo chinês. O grupo ficou amplamente documentado por suas campanhas de espionagem focadas em Taiwan, onde conduziu operações persistentes e multi-vetor ao longo de vários anos. As operações incluem comprometimento de cadeia de suprimentos, ataques de watering hole, spear-phishing e abuso de serviços de nuvem legítimos para distribuição de malware — refletindo uma maturidade operacional significativa. Em campanhas documentadas entre 2022 e 2025, o APT24 demonstrou capacidade de comprometer fornecedores de marketing digital e usar os sites de clientes como vetor de distribuição secundária, infectando potencialmente milhares de organizações por meio de um único ponto de comprometimento. O uso de isca com temas de organizações de resgate de animais e atualizações falsas do Chrome evidência atenção especial à engenharia social. Para a América Latina, o grupo não possui histórico documentado de operações diretas. Entretanto, organizações com vínculos comerciais ou diplomáticos com Taiwan e a região Indo-Pacífico devem considerar o APT24 como ameaça indireta relevante, especialmente no contexto de espionagem econômica. ## TTPs Principais | Tática | Técnica | ID MITRE | Descrição | |--------|---------|----------|-----------| | Acesso Inicial | Phishing | T1566 | Spear-phishing com documentos maliciosos | | Acesso Inicial | Supply Chain Compromise | T1195 | Comprometimento de fornecedores de marketing digital | | Acesso Inicial | Drive-by Compromise | T1189 | Watering hole em 20+ sites legítimos | | Execução | User Execution | T1204 | Atualização falsa do Chrome com BADAUDIO | | Persistência | Web Service | T1102 | Abuso de Google Drive e OneDrive para C2 | | Evasão | Masquerading | T1036 | Malware disfarçado como atualizações legítimas | | C2 | Cloud Storage | T1567 | Uso de armazenamento em nuvem para comunicação | ## Attack Flow ```mermaid graph TB A["🎯 Reconhecimento<br/>Pesquisa de alvos em Taiwan<br/>e cadeias de suprimento"] --> B["📧 Acesso Inicial<br/>Spear-phishing + Watering<br/>hole + Supply chain"] B --> C["💾 Execução<br/>BADAUDIO downloader<br/>Atualização falsa Chrome"] C --> D["🔧 Persistência<br/>Gh0st RAT / Poison Ivy<br/>PittyTiger RAT implantado"] D --> E["☁️ C2 e Evasão<br/>Google Drive / OneDrive<br/>como canal C2"] E --> F["📤 Coleta e Exfiltração<br/>Documentos governamentais<br/>Propriedade intelectual"] classDef recon fill:#3498db,color:#ecf0f1 classDef access fill:#e74c3c,color:#ecf0f1 classDef exec fill:#e67e22,color:#ecf0f1 classDef persist fill:#9b59b6,color:#ecf0f1 classDef c2 fill:#2c3e50,color:#ecf0f1 classDef exfil fill:#e74c3c,color:#ecf0f1 class A recon class B access class C exec class D persist class E c2 class F exfil ``` ## Campanhas Notáveis ### Operação BADAUDIO (2022-2025) A campanha mais documentada do APT24 nos últimos anos envolveu o uso do downloader de primeiro estágio **BADAUDIO** — altamente ofuscado — para estabelecer acesso persistente a redes alvo em Taiwan. O grupo comprometeu uma empresa de marketing digital em julho de 2024, ganhando acesso indireto a mais de 1.000 sites clientes. Paralelamente, operações de watering hole infectaram mais de 20 sites legítimos e campanhas de spear-phishing utilizaram isca temática de organizações de resgate de animais — demonstrando sofisticado trabalho de engenharia social. ### Arsenal Histórico (2008-2020) Nos primeiros anos de atividade, o grupo utilizou ferramentas de acesso remoto amplamente disponíveis, como [[gh0st-rat|Gh0st RAT]], [[poison-ivy|Poison Ivy]] e o [[pitty-tiger-rat|PittyTiger RAT]] personalizado. A transição para o BADAUDIO marcou uma evolução significativa para malware mais sofisticado e de difícil detecção. ## Malware Utilizado | Malware | Tipo | Período | Notas | |---------|------|---------|-------| | [[badaudio\|BADAUDIO]] | Downloader | 2022-2025 | Primeiro estágio ofuscado; evolução mais recente | | [[pitty-tiger-rat\|PittyTiger RAT]] | RAT customizado | 2008-2020 | Ferramenta exclusiva do grupo | | [[gh0st-rat\|Gh0st RAT]] | RAT | 2008-2018 | Ferramenta de acesso remoto amplamente usada por atores chineses | | [[poison-ivy\|Poison Ivy]] | RAT | 2010-2016 | RAT clássico de espionagem | ## Detecção e Defesa **Indicadores comportamentais a monitorar:** - Comúnicações C2 via serviços legítimos de nuvem (Google Drive, OneDrive) com padrões anômalos - Arquivos executáveis disfarçados de atualizações de navegador (Chrome updates falsas) - Acesso a múltiplos sites simultâneos a partir de uma única origem (watering hole distribuído) - Presença de PittyTiger RAT ou variantes do Gh0st RAT em endpoints **Mitigações recomendadas:** - Implementar [[t1566-phishing|controles anti-phishing]] e treinamento de conscientização para engenharia social - Monitorar tráfego de rede para comúnicações C2 via serviços de nuvem ([[t1102-web-service|T1102]]) - Aplicar [[m1051-update-software|patches regulares]] e inventário de fornecedores de software (cadeia de suprimentos) - Utilizar EDR para detecção de comportamentos anômalos de processos e injeção de DLL - Validar integridade de atualizações de software — nunca instalar via pop-up de browser ## Relevância LATAM O APT24 não possui histórico documentado de operações diretas na América Latina ou no Brasil. O foco geográfico do grupo é a região Indo-Pacífico, com ênfase em Taiwan. Entretanto, organizações brasileiras com: - Relações comerciais ou diplomáticas com Taiwan - Fornecimento de tecnologia para o mercado asiático - Participação em cadeias de suprimento globais de TI ...devem considerar o APT24 como vetor de risco indireto, especialmente por meio de comprometimento de cadeia de suprimentos. O modus operandi de comprometer fornecedores intermediários é altamente relevante para o contexto de segurança corporativa no Brasil. ## Referências - [Google Threat Intelligence: APT24 Multi-Vector Attacks](https://cloud.google.com/blog/topics/threat-intelligence/apt24-pivot-to-multi-vector-attacks) - [Malpedia: APT24](https://malpedia.caad.fkie.fraunhofer.de/actor/apt24) - [MITRE ATT&CK: G0011](https://attack.mitre.org/groups/G0011/) - [SecPod: BADAUDIO Deep Dive](https://www.secpod.com/blog/apt24s-badaudio-a-deep-dive-into-china-nexus-espionage-against-taiwan/)