g0002-moafee - RunkIntel

# Moafee > [!medium] APT Chinesa Histórica com Conexão ao DragonOK - Operações 2009-2015 > O **Moafee** é um grupo de espionagem cibernética atribuído à China, operando aparentemente a partir da **Província de Guangdong**, ativo principalmente entre 2009 e 2015. O grupo tem conexão documentada com o [[g0017-dragonok|DragonOK]] através de sobreposição de TTPs e ferramentas customizadas. Embora com baixa atividade pública recente, o Moafee representa um caso histórico de APT chinesa de primeira geração que provavelmente evoluiu para grupos maiores ou foi absorvido por estruturas do PLA mais amplas. ## Visão Geral O Moafee é um grupo APT relativamente pouco documentado, rastreado pelo Dell SecureWorks e FireEye entre 2009 e 2015. O nome do grupo deriva de strings encontradas nos binários do malware utilizado. A atribuição à China, específicamente à Guangdong, baseia-se em evidências de infraestrutura, horário operacional e sobreposição de ferramentas com outros grupos chineses documentados da mesma região. A característica mais documentada do Moafee é o uso de **Binary Padding** ([[t1027-001-binary-padding|T1027.001]]) - uma técnica de evasão em que o arquivo executável do malware é preenchido com bytes adicionais para alterar seu hash e contornar detecção por assinatura. Combinado com [[s0012-poisonivy|PoisonIvy]] - um RAT amplamente disponível que foi muito popular entre APTs chineses de primeira geração - e com backdoors customizados como [[nflog|nflog]] e [[byeby|ByeBY]], o Moafee representa o perfil típico de grupo APT chinês das primeiras gerações (2009-2014). A conexão com [[g0017-dragonok|DragonOK]] é baseada em sobreposição de ferramentas customizadas encontradas em campanhas atribuídas a ambos os grupos, mas a natureza exata da relação (mesmo time, grupos afiliados, ou compartilhamento de ferramentas) permanece incerta. PoisonIvy foi amplamente usado por vários grupos APT chineses no mesmo período, o que complica a atribuição baseada exclusivamente nesta ferramenta. ## Contexto Histórico: APTs Chinesas de Primeira Geração O Moafee é representativo de uma geração de grupos APT chineses que operaram com relativa liberdade entre 2005-2015, antes de exposições públicas massivas como o relatório Mandiant APT1 (2013) forçarem uma modernização das operações. Grupos como Moafee usavam ferramentas amplamente disponíveis (PoisonIvy, Gh0st RAT) com personalizações mínimas, operavam durante horário comercial chinês e mantinham infraestrutura de C2 relativamente estática - facilitando rastreamento por pesquisadores. Após as exposições públicas de 2013-2015, grupos deste perfil tipicamente foram reestruturados ou absorvidos em estruturas maiores do PLA como [[g0096-apt41|APT41]], modernizaram arsenal para ferramentas exclusivas e menos rastreadas, e melhoraram OPSEC operacional. ## Attack Flow - Operação Típica 2009-2015 ```mermaid graph TB A["Entrega Spear-phishing anexo T1566.001 - doc malicioso"] --> B["Execução Malicious file T1204.002 - abertura documento"] B --> C["Implante PoisonIvy RAT de acesso remoto Shell + keylogger"] C --> D["Evasão Binary padding T1027.001 - hash alterado"] D --> E["Reconhecimento T1082 - info sistema T1057 - processos ativos"] E --> F["Exfiltração Dados governamentais Via C2 HTTP"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff ``` ## Linha do Tempo ```mermaid timeline title Moafee - Período de Atividade 2009 : Primeiras operações documentadas : Foco em alvos EUA e Sudeste Asiático 2009-2012 : Campanhas com PoisonIvy : Infraestrutura baseada em Guangdong 2013 : Relatório Mandiant APT1 pressiona grupos PRC : Exposições públicas forçam adaptação 2014-2015 : Atividade reduzida : Dell SecureWorks documenta o grupo 2015 : Última atividade pública confirmada : Possível absorção em estruturas maiores ``` ## Arsenal | Ferramenta | Categoria | Notas | |-----------|-----------|-------| | [[s0012-poisonivy\|PoisonIvy]] | RAT | Amplamente usado em APTs chineses 2009-2015; acesso remoto completo, keylogger | | [[nflog\|nflog]] | Backdoor customizado | Ferramenta customizada única ao Moafee/DragonOK | | [[byeby\|ByeBY]] | Backdoor | Variante customizada identificada em campanhas | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office maliciosos enviados a alvos em governo e defesa | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Vítima abre documento armado que executa payload | | Defense Evasion | Binary Padding | [[t1027-001-binary-padding\|T1027.001]] | Bytes adicionados ao binário para alterar hash e evadir assinatura | | C2 | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTP - PoisonIvy e nflog | | Discovery | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de informações do sistema para reconhecimento inicial | | Discovery | Process Discovery | [[t1057-process-discovery\|T1057]] | Listagem de processos em execução para reconhecimento interno | ## Relevância para o Brasil e LATAM > [!low] Grupo Histórico com Atividade Moderna Não Documentada > O Moafee não representa ameaça operacional contemporânea documentada ao Brasil ou LATAM. O grupo foi ativo principalmente em 2009-2015 e não há relatórios públicos recentes de campanhas ativas. O principal valor desta nota é histórico e taxonômico: o Moafee é parte da genealogia de APTs chinesas de primeira geração que hoje provavelmente evoluíram para grupos maiores como APT41 ou APT10. Para analistas de defesa brasileiros, o Moafee é relevante principalmente como: 1. **Referência histórica**: compreender os APTs chineses de primeira geração é útil para contextualizar a evolução das ameaças atuais como [[g0096-apt41|APT41]] e [[g0045-apt10|APT10]] 2. **PoisonIvy ainda circula**: embora o Moafee seja inativo, o RAT PoisonIvy continua circulando em fóruns de cibercrime e pode ser usado por grupos menos sofisticados atacando alvos brasileiros 3. **Conexão DragonOK**: se o grupo foi incorporado ao DragonOK ou grupos similares, TTPs podem ter continuidade em operações atuais ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | PoisonIvy - conexões para C2 em porta 3460 | T1071.001 | IOC histórico; ainda detectável em ferramentas legadas | | Binário com padding de bytes nulos no final | T1027.001 | Detecção heurística por entropia e tamanho de arquivo fora do padrão | | Documento Office executando regsvr32 ou wscript | T1204.002 | EDR comportamental - Office não deve executar interpreters | | Processo suspeito criado por PoisonIvy | T1071.001 | Hash e comportamento de rede do PoisonIvy ainda documentados em bases de IOC | **Mitigações básicas:** Patch de vulnerabilidades Office ([[m1051-update-software|M1051]]), restrição de macro ([[m1042-disable-or-remove-feature-or-program|M1042]]) e filtro de email ([[m1017-user-training|M1017]]). ## Referências - [1](https://attack.mitre.org/groups/G0002/) MITRE ATT&CK - Moafee (G0002) - [2](https://www.secureworks.com/research/threat-group-3279) Dell SecureWorks - Moafee Threat Group Analysis (2014) - [3](https://attack.mitre.org/groups/G0018/) MITRE ATT&CK - DragonOK (G0018) - grupo com sobreposição de ferramentas - [4](https://malpedia.caad.fkie.fraunhofer.de/actor/moafee) Malpedia - Moafee Actor Profile **Malware:** [[s0012-poisonivy|PoisonIvy]] · [[nflog|nflog]] · [[byeby|ByeBY]] **TTPs:** [[t1027-001-binary-padding|T1027.001]] · [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1071-001-web-protocols|T1071.001]] **Setores:** [[government|Governo]] · [[military|Militar]] · [[defense|Defesa]] · [[technology|Tecnologia]] **Relacionados:** [[g0017-dragonok|DragonOK]] · [[g0006-apt1|APT1 (Comment Crew)]] · [[g0096-apt41|APT41]]