# APT5 > [!danger] APT Estatal — China / Espionagem em Telecom > **APT5** (MITRE G1023) é um grupo de espionagem chinês com histórico de ataques a provedores de telecomúnicações, defesa e aeroespacial. Ganhou destaque por explorar vulnerabilidades zero-day em VPNs Citrix, Pulse Secure e F5, comprometendo redes de provedores de serviços gerenciados (MSPs). ## Visão Geral APT5 é um grupo de ameaça persistente avançada atribuído à China, ativo desde pelo menos 2007. O grupo tem histórico de espionagem de longo prazo em setores de telecomúnicações, aeroespacial e defesa, com foco em roubo de propriedade intelectual e inteligência estratégica. Em 2021-2022, o APT5 foi identificado explorando vulnerabilidades críticas em dispositivos de acesso remoto — particularmente o CVE-2021-22893 (Pulse Secure zero-day) — para comprometer redes de organizações de defesa e governo nos EUA. A NSA públicou advisory específico sobre as atividades do grupo. Em 2022-2023, o grupo foi associado a comprometimentos de redes de provedores de telecomúnicações no Sudeste Asiático como parte de operações de espionagem de longo prazo. Para o Brasil e a América Latina, o APT5 representa risco para provedoras de telecomúnicações e empresas de tecnologia com contratos de defesa, especialmente aquelas com equipamentos de rede Citrix, Pulse Secure ou F5 sem patches aplicados. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nShodan / Scanning VPN] --> B[Acesso Inicial\nZero-day VPN\nCVE-2021-22893] B --> C[Execução\nWebshell customizado\nPowerShell] C --> D[Persistência\nBackdoor em appliance\nCertificados falsos] D --> E[Movimentação Lateral\nRDP / SMB\nCredenciais roubadas] E --> F[Exfiltração\nPropriedade intelectual\nDados de telecomúnicações] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Aplicação Pública | [[t1190-exploit-public-facing-application\|T1190]] | VPNs Pulse Secure, Citrix, F5 | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais de administradores VPN | | Execução via Script | [[t1059-command-and-scripting-interpreter\|T1059]] | PowerShell, bash em appliances | | Transfer de Ferramentas | [[t1105-ingress-tool-transfer\|T1105]] | Deploy de webshells e backdoors | ## Detecção e Defesa - Aplicar patches imediatamente em dispositivos VPN (Pulse Secure, Citrix, F5, Fortinet) - Implementar monitoramento de integridade de arquivos em appliances de rede - Revisar logs de autenticação em VPNs para acessos em horários incomuns - Aplicar [[m1051-update-software|M1051]] com prioridade para dispositivos de borda de rede - Verificar certificados TLS em dispositivos de acesso remoto ## Referências - MITRE ATT&CK: [APT5 G1023](https://attack.mitre.org/groups/G1023/) - NSA Advisory: APT5 Citrix ADC Exploits (2022) - Mandiant: UNC2630 Pulse Secure Zero-Days (2021) - Volexity: APT5 targeting network edge devices (2023) - CISA Advisory AA22-257A: Iranian APT exploitation of VPN (2022)