# DoNot Team ## Visão Geral O **DoNot Team** (também rastreado como **APT-C-35** e **Origami Elephant**) e um grupo de espionagem cibernética com forte indicacao de origem indiana, ativo desde pelo menos **2016**. O grupo concentra operações de espionagem contra organizacoes governamentais, militares e diplomaticas no **Sul da Asia** - especialmente Paquistao, Bangladesh, Sri Lanka e Nepal - com extensao a embaixadas desses paises em outras regioes, incluindo **Américas do Norte e Latina**. O DoNot Team e notavel por sua **persistência operacional**: ESET documentou campanhas contra os mesmos alvos com ondas de spearphishing a cada 2-4 meses por mais de 2 anos consecutivos. Em 2024, o grupo introduziu o malware Android **Tanzeem** usando a plataforma OneSignal para phishing via push notifications - primeira vez documentada de um APT usando este método. A Amnesty International associou o malware do grupo a uma empresa de cibersegurança indiana que pode oferecer servicos de "hackers-for-hire" a governos regionais. ```mermaid graph TB A["Spearphishing Email<br/>Anexo Office/LNK<br/>temas governo/defesa"] --> B["Execução Payload<br/>CVE-2017-11882<br/>ou arquivo LNK"] B --> C["yty Framework<br/>Downloader chain<br/>C++ / Go / Python"] C --> D["Plugins Modulares<br/>File collector<br/>Keylogger / Screen cap"] D --> E["C2 Multi-domain<br/>3 dominios por campanha<br/>DarkMusical / Gedit"] E --> F["Exfiltração<br/>Documentos governo<br/>Comúnicacoes diplomaticas"] style A fill:#2980b9,color:#fff style B fill:#8e44ad,color:#fff style C fill:#e67e22,color:#fff style D fill:#c0392b,color:#fff style E fill:#2c3e50,color:#fff style F fill:#196f3d,color:#fff ``` ## Atribuicao A atribuicao a India e suportada por: - Foco exclusivo em alvos adversarios estratégicos da India (Paquistao, questao da Caxemira) - Relatorio Amnesty International ligando malware a empresa indiana de cibersegurança - Sobreposicao de TTPs com [[g0040-patchwork|Patchwork]] (outra APT do nexo indiano) - ambos usam spearphishing com documentos Office - Documentos decoy tematicamente alinhados com interesses de inteligência indiana ## Arsenal - Framework yty e Evolução ### [[yty-framework|Framework yty]] (core do grupo) Descoberto pela NetScout em 2018, desenvolvido principalmente em C++ com variantes em VBScript, Python (PyInstaller) e Go. Arquitetura modular com chain de downloaders: 1. Downloader inicial baixa backdoor minimalista 2. Backdoor baixa e executa componentes especializados: - **File collectors** (por extensao e data de criação) - **Screen capturers** - **Keyloggers** - **Reverse shells** - **Browser data theft** (Chrome, Firefox) ### [[tanzeem|Tanzeem]] / Tanzeem Updaté (2024) Malware Android de vigilancia - destaque tecnico de 2024. Distribuido via apps de chat fakes. Caracteristicas: - Solicita permissao de acessibilidade ao usuario - Usa plataforma **OneSignal** para entregar phishing via push notifications (primeira vez documentada em APT) - Coleta: chamadas, contatos, SMS, localização, info de contas, arquivos externos, capturas de tela - App se fecha imediatamente após obter permissoes (discricao maxima) ### Variantes yty (2020-2022) - **DarkMusical**: Variante com nomes de arquivos baseados em celebridades ocidentais e filmes (ex: High School Musical). Usado contra organizacoes militares em Bangladesh e Nepal - **Gedit**: Variante distinta usada contra alvos no Paquistao (2020) e depois Bangladesh, Nepal e Sri Lanka ## Campanhas Notaveis ```mermaid graph TB K1["2020-2021<br/>Bangladesh/Nepal Militar<br/>DarkMusical campaign"] --> K2["2020-2021<br/>Paquistao MFA + Defesa<br/>Gedit / Jáca framework"] K2 --> K3["2022-2023<br/>Embaixadas globais<br/>Americas incluidas"] --> K4["2024 Out-Dez<br/>Tanzeem Android<br/>alvos India/PAK sul-asia"] K4 --> K5["2024<br/>Defesa maritima PAK<br/>P8 framework + LNK"] style K1 fill:#7f8c8d,color:#fff style K2 fill:#2980b9,color:#fff style K3 fill:#8e44ad,color:#fff style K4 fill:#e74c3c,color:#fff style K5 fill:#c0392b,color:#fff ``` | Período | Alvo | Vetor | Destaque | |---------|------|-------|----------| | 2020-2021 | Militares Bangladesh/Nepal | Spearphishing RTF | Framework DarkMusical | | 2020-2021 | MFA Paquistao | Spearphishing RTF | Framework Gedit/Jáca | | 2022-2023 | Embaixadas globais (incl. Américas) | Spearphishing email | Mesmos alvos re-atacados | | Out-Dez 2024 | Alvos Sul-Asiaticos Android | App Tanzeem fake | OneSignal como vetor de phishing | | 2024 | Defesa maritima Paquistao | LNK -> P8 framework | Framework tipo Cobalt Strike | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - vetor primario - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - docs Office maliciosos - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de payloads - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Persistência via Registry]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2]] ## Relevância para o Brasil e LATAM > [!warning] Risco Real para Diplomaticos LATAM > ESET documentou explicitamente que o DoNot Team alvejá embaixadas dos paises-alvo "em outras regioes, como o Oriente Medio, Europa, Américas do Norte e Latin América". O DoNot Team apresenta risco **direto e documentado** para entidades diplomaticas no Brasil e LATAM: **Alvos reais em risco:** - [[government|Embaixadas paquistanesas, bangladeshis, srilankesas e nepalesas]] sediadas no Brasil - Diplomaticos desses paises baseados em Brasilia e outras capitais LATAM - Missoes da ONU e organismos internacionais com representacao sul-asiatica **Risco indireto:** - Funcionarios do [[government|Ministerio das Relacoes Exteriores]] brasileiro com relacoes diplomaticas com os paises-alvo - ONGs, think tanks e academicos brasileiros com parceria com instituicoes do Sul Asiatico - Conferencias internacionais realizadas na LATAM que reunao diplomaticos dos paises-alvo O padrao de re-ataques persistentes (mesmos alvos a cada 2-4 meses) indica que o grupo mantem listas de alvos atualizadas - organizacoes em risco devem monitorar continuamente. ## Referências - [ESET - DoNot Go! Do not respawn! (2022)](https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/) - [CYFIRMA - Tanzeem Android Malware (2025)](https://securityaffairs.com/173257/apt/donot-team-android-malware.html) - [Kaspersky ICS CERT - DONOT Q4 2024](https://ics-cert.kaspersky.com/publications/reports/2025/03/25/apt-and-financial-attacks-on-industrial-organizations-in-q4-2024/) - [TheSECMaster - APT-C-35 DoNot Team](https://thesecmaster.com/blog/apt-c-35) - [International Security Journal - ESET Donot Investigation](https://internationalsecurityjournal.com/eset-investigates-donot-team/)