# Elderwood Group > [!danger] APT Chinês — Pioneiro em Zero-Days de Browser e Watering Holes > **Elderwood Group** (MITRE G0066) é um grupo de espionagem chinês histórico, notável por sua extensa infraestrutura de zero-days e campanhas de watering hole contra o setor de defesa americano. Responsável por mais de 10 zero-days conhecidos entre 2010 e 2012. ## Visão Geral O Elderwood Group é um grupo de espionagem cibernética chinês identificado pela Symantec em 2012, notável por possuir e utilizar uma coleção extraordinária de zero-days de browser — principalmente Internet Explorer, Adobe Flash e Adobe Reader. A Symantec estimou que o grupo tinha acesso a uma "fábrica de zero-days" que produzia exploits sob demanda. O grupo ficou historicamente famoso pela "Operação Aurora" em 2009, que comprometeu o Google e mais de 30 outras grandes empresas de tecnologia americanas, incluindo Adobe, Juniper Networks e Rackspace. O ataque ao Google revelou ao público a sofisticação dos grupos de espionagem chineses e foi um ponto de inflexão nas discussões sobre atribuição de ataques estatais. O Elderwood Group também foi pioneiro em campanhas de **watering hole** sofisticadas: ao invés de enviar phishing diretamente ao alvo, o grupo comprometia sites de organizações de direitos humanos, associações de veteranos e contratados de defesa frequentados pelos alvos reais — esperando que os alvos visitassem os sites comprometidos e fossem infectados. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nIdentifica sites frequentados\npelo alvo] --> B[Watering Hole\nCompromete site legítimo\nInsere exploit IE/Flash] B --> C[Infecção\nAlvo visita site\nZero-day executa] C --> D[Backdoor\n9002 RAT\nPoisonIvy] D --> E[Movimento Lateral\nCredenciais AD\nRDP] E --> F[Exfiltração\nPropriedade intelectual\nDefesa / Aeroespacial] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit de Cliente | [[t1203-exploitation-for-client-execution\|T1203]] | IE, Flash, Reader zero-days | | Watering Hole | [[t1189-drive-by-compromise\|T1189]] | Comprometimento de sites frequentados | | Spear Phishing | [[t1566-phishing\|T1566]] | E-mails com links para sites comprometidos | | RAT Customizado | [[t1059-command-and-scripting-interpreter\|T1059]] | 9002 RAT, PoisonIvy backdoors | ## Detecção e Defesa - Manter browsers e plugins sempre atualizados (grupo explorava N-days em horas) - Implementar isolamento de browser para visitas a sites de terceiros - Monitorar tráfego de rede para comunicação com domínios C2 suspeitos - Aplicar [[m1021-restrict-web-based-content|M1021]] para bloquear plugins desnecessários - Verificar integridade de sites parceiros e fornecedores (watering hole) ## Referências - MITRE ATT&CK: [Elderwood Group G0066](https://attack.mitre.org/groups/G0066/) - Symantec: Elderwood Project report (2012) - Google: Operation Aurora disclosure (2010) - Mandiant: APT1 / Elderwood connections analysis (2013) - McAfee: Operation Aurora technical analysis (2010)