# APT40 > [!danger] APT Chinês — Espionagem Naval e Marítima > **APT40** (MITRE G0065), também conhecido como **Leviathan** ou **Gingham Typhoon**, é um grupo de espionagem chinês com foco em setores naval, marítimo e aeroespacial. Em 2024, o ACSC da Austrália e aliados Five Eyes emitiram advisory conjunto atribuindo o grupo ao MSS. ## Visão Geral APT40 é um grupo de espionagem cibernética atribuído ao Departamento de Segurança do Estado de Hainan (MSS — Ministério de Segurança do Estado da China). O grupo tem foco estratégico em roubo de propriedade intelectual relacionada a sistemas navais, tecnologia marítima e aeroespacial — setores de alta relevância para a modernização militar chinesa. O grupo é particularmente notável por adaptar-se rapidamente a novas vulnerabilidades. Em 2024, um advisory conjunto dos países Five Eyes (EUA, UK, Austrália, Canadá, Nova Zelândia) documentou que o APT40 prioriza exploração de dispositivos de rede de pequeno porte (SOHO routers, NAS devices) como infraestrutura de relay — similar ao Volt Typhoon — além de explorar vulnerabilidades N-day em dias ou semanas após divulgação. Em 2018, 3 membros foram indiciados pelo DOJ americano por roubo de propriedade intelectual naval, incluindo dados sobre o sistema de misseis SSGT-98 e tecnologia de submarinos. O grupo também comprometeu universidades com programas de pesquisa naval. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nShodan / Universidades\nLinkedIn Naval] --> B[Acesso Inicial\nSpear Phishing\nExploit VPN N-day] B --> C[Execução\nCOBRA STRIKE\nPowerShell loaders] C --> D[Persistência\nWebshells em servidores\nCredenciais válidas] D --> E[Movimentação Lateral\nAcesso a repositórios\nArquivos de design naval] E --> F[Exfiltração\nPropriedade intelectual\nTecnologia naval / misseis] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | Temáticas navais / conferências marítimas | | Exploit Aplicação | [[t1190-exploit-public-facing-application\|T1190]] | VPNs, routers SOHO N-days rápidos | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais de pesquisadores universitários | | Execução via Script | [[t1059-command-and-scripting-interpreter\|T1059]] | PowerShell, Python nos sistemas alvo | ## Detecção e Defesa - Aplicar patches críticos em dispositivos de rede (VPNs, routers) em menos de 48h - Revisar acesso de pesquisadores externos a repositórios de propriedade intelectual - Implementar DLP para arquivos de design e documentação técnica sigilosa - Monitorar SOHO routers por comprometimento (IOCs dos advisories Five Eyes) - Aplicar [[m1030-network-segmentation|M1030]] para isolar sistemas de P&D ## Referências - MITRE ATT&CK: [APT40 G0065](https://attack.mitre.org/groups/G0065/) - ACSC Advisory: APT40 SOHO router exploitation (2024) - Five Eyes Joint Advisory: APT40 — China State-Sponsored Cyber Group (2024) - DOJ: APT40 3-member indictment — Navy technology theft (2018) - Mandiant: APT40 / Leviathan profile (2019)