apt3 - RunkIntel

# APT3 > [!danger] APT Estatal — China / MSS | Espionagem Industrial > **APT3** (MITRE G0022), também conhecido como **Gothic Panda** ou **Buckeye**, é um grupo de espionagem chinês atribuído ao MSS (Ministério de Segurança do Estado). Especializado em roubo de propriedade intelectual em setores aeroespacial, defesa e tecnologia usando exploits de browsers e phishing. ## Visão Geral APT3 é um grupo de espionagem cibernética atribuído ao Ministério de Segurança do Estado da China (MSS), específicamente ao Guangdong State Security Department. O grupo foi um dos mais ativos em campanhas de espionagem industrial contra empresas ocidentais de tecnologia entre 2010 e 2017. O APT3 ficou particularmente conhecido por explorar zero-days em browsers (Internet Explorer, Firefox, Adobe Flash) para comprometer alvos via watering hole e spear phishing. Em 2014, o grupo foi responsável pela exploração do CVE-2014-1776 (IE zero-day) em campanhas direcionadas a contratados de defesa e empresas aeroespaciais nos EUA. Em 2017, a ShadowBrokers vazou ferramentas da NSA (EternalBlue), e pesquisadores notaram similaridades entre as ferramentas do APT3 e algumas capacidades da NSA — gerando especulação sobre roubos prévios. O grupo está associado à empresa de fachada chamada "Boyusec" (Guangzhou Bo Yu Information Technology Company Limited), indiciada pelo DOJ em 2017. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nOSINT / LinkedIn] --> B[Acesso Inicial\nSpear Phishing\nWatering Hole] B --> C[Exploit Browser\nIE / Flash zero-day\nCVE-2014-1776] C --> D[Persistência\nBackdoor customizado\nDLL hijacking] D --> E[Movimentação Lateral\nPass-the-Hash\nRDP] E --> F[Exfiltração\nPropriedade intelectual\nDesigns aeroespaciais] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | E-mails temáticos de defesa e aeroespacial | | Exploit de Cliente | [[t1203-exploitation-for-client-execution\|T1203]] | IE, Firefox, Flash zero-days | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais de domínio comprometidas | | Execução via Script | [[t1059-command-and-scripting-interpreter\|T1059]] | PowerShell, VBScript | ## Detecção e Defesa - Manter browsers e plugins atualizados com patches de segurança imediatos - Implementar isolamento de browser (sandboxing) para navegação de alto risco - Aplicar [[m1021-restrict-web-based-content|M1021]] para bloqueio de plugins desatualizados - Monitorar execução de processos filhos do browser - Consultar [[ds0009-process|DS0009]] para detecção de exploits de renderer ## Referências - MITRE ATT&CK: [APT3 G0022](https://attack.mitre.org/groups/G0022/) - DOJ: Boyusec Indictment — APT3 Attribution (2017) - FireEye: APT3 Adversary Intelligence Report (2014) - Mandiant: APT3 Threat Intelligence Brief (2015) - Recorded Future: APT3 / Buckeye analysis (2016)