apt31 - RunkIntel

# APT31 > [!danger] APT Chinês — Espionagem Política e Parlamentar > **APT31** (MITRE G0128), também conhecido como **Zirconium**, é um grupo de espionagem chinês com foco em governo, parlamentares e organizações políticas ocidentais. Em 2024, o DOJ americano e o Reino Unido imputaram 7 cidadãos chineses membros do grupo por campanha de espionagem de uma década. ## Visão Geral APT31 (Zirconium) é um grupo de espionagem cibernética atribuído ao MSS (Ministério de Segurança do Estado da China), com forte foco em alvos políticos: parlamentares, staffs de campanhas presidenciais, think tanks de política externa, e organizações democráticas ocidentais. O grupo opera com horizonte de longo prazo, mantendo acesso em redes-alvo por anos. Em março de 2024, o DOJ americano e o governo britânico realizaram ações coordenadas de alto impacto: indiciamento de 7 cidadãos chineses membros do APT31, com acusações de espionagem em mais de 10 países ao longo de 14 anos. A campanha incluiu comprometimento de e-mails de membros do Congresso americano, parlamentares europeus e funcionários da OTAN. O Reino Unido atribuiu ao APT31 o comprometimento da UK Electoral Commission e do Parliamentary email system. O grupo usa técnicas de spear phishing sofisticadas com temas de política internacional, além de explorar vulnerabilidades em dispositivos de borda para comprometimento de redes governamentais. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nLinkedIn / Staffs políticos\nRedes parlamentares] --> B[Spear Phishing\nTemas políticos\nInvitações de conferências] B --> C[Execução\nLinks de rastreamento\nDroppers customizados] C --> D[Persistência\nBackdoor de longo prazo\nCredenciais de e-mail] D --> E[Coleta\nComúnicações políticas\nDossiês de candidatos] E --> F[Exfiltração\nInteligência política\nVantagem estratégica] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | Temas políticos, convites para eventos | | Phishing para Info | [[t1598-phishing-for-information\|T1598]] | Rastreadores de abertura de e-mail | | Exploit de Aplicação | [[t1190-exploit-public-facing-application\|T1190]] | VPNs, webmail de organizações políticas | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | E-mail corporativo comprometido | ## Detecção e Defesa - Implementar DMARC/DKIM/SPF em domínios de organizações políticas e governamentais - Ativar MFA em todas as contas de e-mail de parlamentares e staffs - Monitorar rastreadores de abertura de e-mail não autorizados (APT31 usa para profiling) - Aplicar [[m1032-multi-factor-authentication|M1032]] resistente a phishing - Realizar treinamentos de phishing específicos para staffs políticos ## Referências - MITRE ATT&CK: [APT31 G0128](https://attack.mitre.org/groups/G0128/) - DOJ: APT31 7-member indictment (março 2024) - NCSC UK: APT31 — UK electoral commission breach attribution (2024) - Microsoft MSTIC: Zirconium targeting presidential campaigns (2020) - Mandiant: APT31 European parliament targeting (2023)