# Axiom (Group 72) > [!danger] APT Chines de Longa Data - Espionagem Corporativa > Axiom e responsavel por campanha de espionagem de 6 anos contra Fortune 500, jornalistas, ONGs pro-democracia e agencias governamentais. A Novetta liderou a Operação SMN que removeu 43.000 instalacoes de ferramentas Axiom, incluindo 180 implantes Hikit de alto valor. ## Visão Geral Axiom (rastreado pela Cisco como Group 72) e um grupo de espionagem cibernética suspeito de operar em nome do aparato de inteligência do governo chines. Ativo desde pelo menos 2008, o grupo conduz operações de espionagem de longo prazo com foco em propriedade intelectual de alto valor em setores estratégicos. O grupo e notavel pela sofisticacao operacional: usa um arsenal de ferramentas em camadas (de RATs comuns a implantes personalizados como Hikit), compromete centenas de organizacoes em triagem massiva para identificar alvos de maior valor, e demonstra capacidade para manter acesso por **anos** sem detecção. **Relacao com Winnti Group:** Embora ambos usem o malware Winnti, análises de TTPs e perfis de alvos indicam que sao grupos distintos. Axiom pode ter sobreposicao com APT17 (Deputy Dog) e APT20 (Violin Panda). **Também conhecido como:** Group 72, G0001 ## Campanhas Documentadas | Campanha | Período | Escopo | Impacto | | -------- | ------- | ------ | ------- | | Operation SMN | 2008-2014 | Global - 43.000 infeccoes | Primeira interdição privada coordenada contra APT patrocinado por Estado | | VOHO Campaign | 2012-2013 | Defesa e tecnologia EUA | Comprometimento da Bit9 para assinar malware como código legítimo | | Espionagem Industrial Global | 2008-2025 | Manufatura, defesa, aerospace | Roubo sistematico de propriedade intelectual | ## Arsenal - Hierarquia de Implantes ```mermaid graph TB A["Fase 1 - Acesso em Massa<br/>Phishing + Drive-by<br/>PlugX, ZxShell, PoisonIvy"] --> B["Fase 2 - Triagem<br/>Identificar alvos de alto valor<br/>Dezenas de milhares de maquinas"] B --> C["Fase 3 - Infiltracao Profunda<br/>Hikit implantado<br/>RDP Hijacking + Sticky Keys"] C --> D["Fase 4 - Coleta e Exfiltração<br/>T1560 Archive + Steganography<br/>Compressao + criptografia"] style A fill:#2471a3,color:#fff style B fill:#e67e22,color:#fff style C fill:#c0392b,color:#fff style D fill:#1e8449,color:#fff ``` ## Hikit - Implante de Etapa Final **Hikit** e o malware mais avancado do arsenal Axiom, indicando que a organização considera o alvo de alto valor ou fortemente protegido. Caracteristicas: - Retorna regularmente a organizacoes comprometidas em cronograma definido - Realiza movimentos laterais baseados em localização geografica dos pontos de egresso de rede - Adapta-se proativamente a novos controles de segurança implementados pela vitima - Opera em infraestrutura de C2 comprometida dedicada exclusivamente a alvos individuais ## Timeline ```mermaid timeline title Axiom - Cronologia 2008 : Primeiras atividades documentadas - manufatura e defesa 2012 : VOHO Campaign - Bit9 comprometida para assinar malware 2013 : Expansao massiva - 43.000 infeccoes documentadas 2014 : Operation SMN - coaligacao industria remove implantes 2014 : FBI flash alerta: atores afiliados ao governo chines 2015 : Relatorio completo Novetta - métodologia detalhada exposta 2025 : Grupo ativo - operacoes continuam ``` ## TTPs Detalhadas - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - watering holes em sites setoriais - [[t1566-phishing|T1566 - Phishing]] - spear-phishing para acesso inicial - [[t1553-subvert-trust-controls|T1553 - Subvert Trust Controls]] - assinatura de malware com certs roubados (caso Bit9) - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais admins comprometidas - [[t1021-001-remote-desktop-protocol|T1021.001 - RDP]] - movimento lateral via RDP - [[t1563-002-rdp-hijacking|T1563.002 - RDP Hijacking]] - sequestro de sessoes RDP ativas - [[t1546-008-accessibility-features|T1546.008 - Accessibility Features]] - Sticky Keys para backdoor em RDP - [[t1001-002-steganography|T1001.002 - Steganography]] - C2 oculto em imagens PNG - [[t1584-005-botnet|T1584.005 - Botnet]] - roteamento de trafego C2 via botnets de proxy - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - compressao e criptografia pre-exfiltração - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - coleta de credenciais - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - SQL injection para acesso inicial - [[t1583-002-dns-server|T1583.002 - DNS Server]] - DNS dinâmico para C2 furtivo - [[t1583-003-virtual-private-server|T1583.003 - VPS]] - infraestrutura de VPS para operações ## Software Utilizado - [[s0009-hikit|Hikit]] - implante avancado de longa persistência - indicador de alvo de alto valor - [[s0412-zxshell|ZxShell]] - backdoor polivalente com keylogging e captura de tela - [[s0021-derusbi|Derusbi]] - RAT sofisticado compartilhado com outros grupos chineses - [[s0203-hydraq|Hydraq]] - malware alias 9002 RAT, Naid, Roarur - [[s0013-plugx|PlugX]] - RAT modular amplamente usado por atores chineses - [[s0012-poisonivy|PoisonIvy]] - RAT clasico de acesso remoto - [[gh0st-rat|gh0st RAT]] - acesso remoto com C2 criptografado - [[winnti|Winnti]] - malware compartilhado (overlap com Winnti Group) ## Relevância para o Brasil e LATAM Axiom e um grupo de espionagem industrial de longa data com foco em propriedade intelectual de setores estratégicos. Empresas brasileiras em defesa (Embraer, Avibras), manufatura avancada com exportacoes para mercados estratégicos, e empresas de telecomúnicacoes com infraestrutura sensivel sao alvos naturais para espionagem industrial alinhada com interesses chineses. O padrao de comprometimento de longo prazo sem detecção por anos, combinado com a técnica de Sticky Keys para acesso via RDP, significa que uma intrusão Axiom pode persistir indefinidamente em ambientes com monitoramento inadequado. > [!warning] Vetor de Risco para Brasil > Empresas brasileiras que mantém parcerias industriais com EUA, Jápao ou Taiwan em setores de manufatura avancada, aerospace ou telecomúnicacoes sao alvos potenciais para espionagem Axiom, especialmente aquelas com segurança insuficiente em sessoes RDP e accesso remoto. ## Detecção e Hunting - Monitorar uso do Sticky Keys bypass (sethc.exe, utilman.exe) em sessoes RDP - Alertar para assinatura de binarios com certificados revogados ou suspeitos - Detectar esteganografia em trafego HTTP (imagens PNG como canal C2) - Hunting por conexoes RDP anomalas fora do horario comercial - Monitorar ZxShell, PlugX e Hikit via hashes conhecidos e comportamento de processo ## Referências - [1](https://attack.mitre.org/groups/G0001/) MITRE ATT&CK - G0001 Axiom - [2](https://blogs.cisco.com/security/talos/threat-spotlight-group-72) Cisco Talos - Threat Spotlight: Group 72 (2014) - [3](https://www.infosecurity-magazine.com/news/chinese-espionage-group-widescale/) Infosecurity Magazine - Chinese Espionage Group Directed 6-Year Offensive (2014) - [4](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Axiom%2C+Group+72) ETDA - Axiom/Group 72 Threat Card (2025) - [5](http://dfir.com.br/wp-content/uploads/2021/09/Operation-SMN.pdf) Novetta - Operation SMN: Axiom Threat Actor Group Report (2014)