# APT9 > [!warning] Grupo Chines de Espionagem Farmaceutica e Biotecnologia > **APT9** (também rastreado como Nightshade Panda) e um grupo de ameaça persistente avancada com suspeita de nexo estatal chines, especializado no roubo de propriedade intelectual em setores de saúde, farmaceutica, biotecnologia, aeroespacial e engenharia. Ativo desde pelo menos 2009, o grupo e conhecido pelo uso de relacionamentos de confiança entre empresas como vetor de comprometimento inicial. ## Visão Geral **APT9** e um grupo de espionagem cibernetica com suspeita de patrocinio estatal chines, rastreado pela Mandiant/Google Threat Intelligence como um grupo com algum nivel de patrocinio nacional, possívelmente atuando como contratista. Ativo desde pelo menos 2009, o grupo especializou-se historicamente no setor **farmaceutico e de biotecnologia**, com comprometimentos de empresas dos EUA, Europa e Asia que desenvolvem medicamentos, vacinas e propriedade intelectual de alto valor estratégico. Diferentemente de grupos APT chineses mais proeminentes, o APT9 e caracterizado pelo: - Uso predominante de **ferramentas públicamente disponiveis** combinadas com backdoors customizados de uso compartilhado entre varios grupos chineses - Preferência por **spear phishing**, uso de credenciais válidas e acesso via servicos remotos para obtencao de acesso inicial - Historico de explorar **relacionamentos de confiança** entre empresas do mesmo setor para pivotar de uma vitima comprometida para outra no mesmo ecossistema - Foco em **propriedade intelectual de alto valor** - formulas de medicamentos, dados de ensaios clinicos, pesquisa de vacinas e projetos aeroespaciais **Relevância para o Brasil:** Embora o APT9 nao tenha alvos confirmados no Brasil, o setor farmaceutico e de biotecnologia brasileiro representa um perfil de interesse para o grupo. Empresas como Fiocruz, Instituto Butantan e grandes farmaceuticas com operações no Brasil possuem propriedade intelectual de pesquisa que corresponde ao perfil historico de vitimas do APT9. O uso de relacionamentos de confiança entre empresas do setor como vetor de comprometimento e especialmente relevante para ecossistemas de pesquisa colaborativa. ## Arsenal e Métodos de Ataque O APT9 e conhecido pelo uso de um amplo espectro de ferramentas - tanto públicas quanto customizadas: | Ferramenta | Tipo | Notas | |-----------|------|-------| | [[s0012-poisonivy\|PoisonIvy]] | RAT público | Backdoor historicamente popular entre APTs chineses | | Cotx RAT | RAT customizado | Backdoor usado em conjunto com PoisonIvy em campanha de 2019 | | Ferramentas nativas | Living-off-the-land | net.exe, ipconfig, tasklist, whoami, ping | ### Caracteristica Distintiva: Relacionamentos de Confiança Em pelo menos uma ocasiao documentada, o APT9 **comprometeu duas empresas do setor de biotecnologia simultaneamente**, aproveitando o relacionamento de confiança existente entre elas para mover-se lateralmente de uma para outra. Esta técnica - explorar confianças estabelecidas entre parceiros de negocios - representa um risco particular em ecossistemas de pesquisa colaborativa e cadeias de suprimento farmaceuticas. ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Identificação de alvos farmaceuticos<br/>Mapeamento de relacionamentos de confianca"] --> B["Acesso Inicial<br/>Spear phishing<br/>Credenciais válidas ou RDP exposto"] B --> C["Estabelecimento de Acesso<br/>PoisonIvy backdoor<br/>C2 via HTTP/HTTPS"] C --> D["Descoberta e Movimentação<br/>Enumeracao de rede<br/>Pivot via relacoes de confianca entre empresas"] D --> E["Coleta de PI<br/>Documentos de pesquisa<br/>Dados de ensaios clinicos / formulas"] E --> F["Exfiltração<br/>Canal C2 criptografado<br/>Transferencia gradual para evitar detecao"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#f39c12,color:#fff style E fill:#8e44ad,color:#fff style F fill:#16a085,color:#fff ``` ## Setores Alvo Historicos ```mermaid mindmap root((APT9)) Farmaceutica Formulas de medicamentos Dados de ensaios clinicos Pesquisa de vacinas Biotecnologia PI de pesquisa genetica Propriedade de biodefesa Aeroespacial e Defesa Projetos de aeronaves Tecnologia de sistemas de armas Construcao e Engenharia Projetos de infraestrutura Específicacoes técnicas ``` ## TTPs Principais | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spear phishing com documentos maliciosos contextualizados | | Initial Access | [[t1078-valid-accounts\|T1078]] | Uso de credenciais válidas obtidas ou compradas | | Initial Access | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Acesso via RDP a sistemas remotos | | Lateral Movement | [[t1570-lateral-tool-transfer\|T1570]] | Transferencia de ferramentas entre sistemas comprometidos | | Lateral Movement | [[t1080-taint-shared-content\|T1080]] | Exploração de conteudo compartilhado entre organizacoes parceiras | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTP/HTTPS | | Exfiltration | [[t1041-exfiltration-c2\|T1041]] | Exfiltração gradual de dados via canal C2 | ## Detecção e Defesa > [!tip] Indicadores de Detecção > - PoisonIvy comúnicando com IPs externos em portas nao padrao (frequentemente TCP 8080, 443) > - Execução de ferramentas de enumeracao de rede (ipconfig, net view, tasklist) por usuarios nao tecnicos > - Acessos RDP de IPs nao reconhecidos ou em horarios atipicos para a industria farmaceutica > - Transferencias incomuns de grandes volumes de dados de estacoes de pesquisa para servidores externos > - Acesso nao autorizado a compartilhamentos de rede entre organizacoes parceiras > [!info] Mitigacoes Recomendadas > - Implementar MFA em todas as contas com acesso a sistemas de pesquisa e propriedade intelectual sensivel > - Auditar regularmente relacionamentos de confiança com fornecedores e parceiros de pesquisa > - Segmentar redes de P&D de redes corporativas gerais e limitar acesso cross-organizacional > - Monitorar downloads massivos ou transferencias de documentos de pesquisa por contas de usuario > - Aplicar principio do mínimo privilegio em sistemas que contem dados de ensaios clinicos e formulas ## Referências - [1](https://cloud.google.com/security/resources/insights/apt-groups) Google Cloud - APT Groups: APT9 Profile (2024) - [2](https://www.fireeye.com/current-threats/apt-groups.html) Mandiant - APT Groups Overview (2023) - [3](https://www.proofpoint.com/us/threat-insight/post/chinese-apt-operation-lagtime-it-targets-government-information-technology) Proofpoint - Operation LagTime IT: Chinese APT Targets Government IT (2019) - [4](https://attack.mitre.org/groups/) MITRE ATT&CK - Groups Reference (2024) **Malware:** [[s0012-poisonivy|PoisonIvy]] **Técnicas:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1078-valid-accounts|T1078]] · [[t1021-001-remote-desktop-protocol|T1021.001]] · [[t1041-exfiltration-over-c2-channel|T1041]] **Setores alvo:** [[healthcare|Saúde]] · [[pharmaceutical|Farmaceutica]] · [[aerospace|Aeroespacial]] · [[defense|Defesa]] **Relacionados:** [[g0045-apt10|APT10]] · [[g0004-apt15|APT15]] · [[g0096-apt41|APT41]]