g0004-apt15 - RunkIntel

# APT15 > [!warning] Grupo Chines de Espionagem com Foco em Diplomaticos e Governo > **APT15** (também rastreado como Ke3chang, NICKEL e Nylon Typhoon) e um grupo de ameaça persistente avancada atribuido a atores operando na China, ativo desde pelo menos 2010. Com mais de 15 anos de operações continuas, o grupo especializou-se em comprometer ministerios das relacoes exteriores, missoes diplomaticas e organizacoes governamentais, incluindo alvos documentados na **América Central, Caribe e América do Sul** - tornando-o relevante para o Brasil. ## Visão Geral O **APT15** (identificado pelo MITRE ATT&CK como Ke3chang, G0004) e um dos grupos de espionagem cibernetica mais longevos vinculados a China, ativo continuamente desde pelo menos 2010. O grupo opera sob múltiplos aliases - Ke3chang, NICKEL (Microsoft), Nylon Typhoon, Vixen Panda (CrowdStrike), Mirage, Royal APT e GREF - refletindo anos de rastreamento independente por diferentes pesquisadores de segurança. O foco principal do APT15 e a **espionagem contra entidades diplomaticas e governamentais**, com enfase especial em ministerios das relacoes exteriores de paises europeus, missoes diplomaticas em regioes estratégicas e organizacoes nao governamentais com relevância politica. Uma caracteristica distintiva do grupo e sua aténcao persistente para a América Central, Caribe e América do Sul. **Historico e evolução:** - 2010-2014: Campanhas iniciais contra governos europeus e LATAM com o malware Mirage RAT - 2015-2019: Arsenal expandido com PlugX, Okrum e Ketrican; operações contra missoes diplomaticas europeias - 2020-2022: Adocao do ShadowPad, exploração de Exchange e SharePoint; Microsoft nomeia como NICKEL e executa desmantelamento de infraestrutura em 2021 (58 dominios apreendidos) - 2023-2026: Operation Diplomatic Specter contra governos no Oriente Medio, Africa e Asia; uso de redes ORB para mascarar C2 **Relevância para o Brasil:** O APT15 tem historico documentado de alvos em ministerios das relacoes exteriores de paises sul-americanos. O governo brasileiro, missoes diplomaticas e organizacoes de politica externa representam alvos de alto interesse para o grupo dado seu perfil de vitimas consistente. ## Arsenal de Malware | Ferramenta | Tipo | Período | Notas | |-----------|------|---------|-------| | [[mirage-rat\|Mirage RAT]] | RAT customizado | 2010-2015 | Primeiro malware principal do grupo | | [[s0013-plugx\|PlugX]] | RAT modular | 2014-presente | Ferramenta compartilhada por múltiplos APTs chineses | | [[s0439-okrum\|Okrum]] | Backdoor | 2015-2019 | C2 via HTTP/HTTPS com encoding customizado | | [[ketrican\|Ketrican]] | Backdoor | 2015-2019 | Sucessor direto do Okrum, evasão melhorada | | [[s0596-shadowpad\|ShadowPad]] | RAT modular | 2020-presente | Plataforma avancada - acesso controlado entre APTs chineses | ## Attack Flow - Operacoes Diplomaticas ```mermaid graph TB A["Reconhecimento OSINT de missoes diplomaticas Identificação de servidores Exchange"] --> B["Acesso Inicial Exploração de apps publicas Exchange / SharePoint / Citrix CVEs"] B --> C["Implantação de Backdoor PlugX ou ShadowPad DLL sideloading em servicos legitimos"] C --> D["Persistência Servicos Windows customizados Tarefas agendadas"] D --> E["Coleta de Dados Caixas de email Exchange Documentos de governo"] E --> F["Exfiltração RAR/7zip com senha Canal C2 criptografado"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#f39c12,color:#fff style E fill:#8e44ad,color:#fff style F fill:#16a085,color:#fff ``` ## Linha do Tempo ```mermaid timeline title APT15 - Cronologia de Operacoes 2010 : Primeiras campanhas com Mirage RAT Alvos: ministerios das relacoes exteriores europeus e LATAM 2015 : ESET documenta backdoors Okrum e Ketrican Alvos: missoes diplomaticas na Europa 2018 : Expansao para oil and gas e NGOs Adocao crescente do PlugX 2021 : Microsoft executa acao legal como NICKEL 58 dominios maliciosos apreendidos 2022 : Adocao do ShadowPad como plataforma principal Exploração de CVE-2022-27518 (Citrix ADC) 2024 : Operation Diplomatic Specter documentada Alvos: Oriente Medio, Africa, Asia Redes ORB para mascarar infraestrutura C2 ``` ## TTPs Principais | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de Exchange, SharePoint, Citrix ADC | | Execution | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Decodificacao de shellcode Base64 antes do carregamento | | Persistence | [[t1543-003-windows-service\|T1543.003]] | Servicos Windows com DLL sideloading | | Collection | [[t1114-002-remote-email-collection\|T1114.002]] | Coleta de emails via Microsoft Exchange comprometido | | Collection | [[t1119-automated-collection\|T1119]] | Coleta automatica e agendada de dados das vitimas | | Exfiltration | [[t1041-exfiltration-c2\|T1041]] | Exfiltração via canal C2 com arquivos RAR/7zip cifrados | | Lateral Movement | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | Movimentação lateral via compartilhamentos SMB/admin$ | | Discovery | [[t1057-process-discovery\|T1057]] | Enumeracao de processos via tasklist.exe | ## Detecção e Defesa > [!tip] Indicadores de Detecção > - Processos legitimos do Windows carregando DLLs de diretorios incomuns (DLL sideloading do PlugX/ShadowPad) > - Conexoes de saida para infraestrutura de proxy encadeado ou redes ORB mascarando origem real > - Ferramentas de enumeracao (AdFind, NbtScan) executadas interativamente por contas de servico > - Acesso massivo a caixas de email Exchange via tools .NET nao autorizados > - Criação de servicos Windows com nomes imitando produtos AV legitimos > [!info] Mitigacoes Recomendadas > - Aplicar patches imediatos em servidores Exchange, SharePoint e gateways Citrix > - Implementar EDR com detecao de DLL sideloading em binarios legitimos do sistema > - Monitorar acesso programatico a Exchange para contas de servico e APIs nao reconhecidas > - Segmentar redes diplomaticas e de governo de redes corporativas gerais > - Auditar regularmente servicos Windows para detectar persistência nao autorizada ## Referências - [1](https://attack.mitre.org/groups/G0004/) MITRE ATT&CK - G0004 Ke3chang / APT15 (2024) - [2](https://malpedia.caad.fkie.fraunhofer.de/actor/apt15) Malpedia - APT15 Actor Profile (2026) - [3](https://unit42.paloaltonetworks.com/cta-china-cyberespionage/) Unit 42 - Operation Diplomatic Specter: Active Chinese Cyberespionage Campaign (2024) - [4](https://www.sentinelone.com/labs/shadowpad-purplehaze-attacks/) SentinelOne Labs - ShadowPad and PurpleHaze Attacks Linked to China-Aligned Actors (2025) - [5](https://www.welivesecurity.com/2019/07/18/okrum-ke3chang-targets-diplomatic-missions/) ESET WeLiveSecurity - Okrum: Ke3chang group targets diplomatic missions (2019) **Malware:** [[s0013-plugx|PlugX]] · [[s0596-shadowpad|ShadowPad]] · [[s0439-okrum|Okrum]] · [[ketrican|Ketrican]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1114-002-remote-email-collection|T1114.002]] · [[t1041-exfiltration-over-c2-channel|T1041]] · [[t1587-001-malware|T1587.001]] **Setores alvo:** [[government|Governo]] · [[defense|Defesa]] · [[diplomatic|Diplomatico]] · [[oil-and-gas|Petroleo e Gas]] **Relacionados:** [[g0096-apt41|APT41]] · [[g0045-apt10|APT10]] · [[g0007-apt28|APT28]]