g0005-apt12 - RunkIntel

# APT12 > [!high] Espionagem Chinesa com Foco em Taiwan, Japão e Mídia Global > O **APT12** (também rastreado como Numbered Panda, IXESHE, DynCalc e DNSCALC) é um grupo de espionagem cibernética vinculado ao Exército de Libertação Popular da China (PLA), ativo desde pelo menos 2005. Especializado em campanhas de spear-phishing contra governos, veículos de mídia e empresas de tecnologia com foco estratégico em Taiwan e Japão, o grupo ganhou notoriedade global com a violação dos sistemas do New York Times em 2012 - mantendo acesso por mais de quatro meses e roubando as senhas corporativas de todos os funcionários. O APT12 demonstrou capacidade de adaptação rápida após exposições públicas, evoluindo seu arsenal para manter operações continuadas. ## Visão Geral O APT12 é um grupo de espionagem cibernética ligado ao PLA chinês, rastreado pela Trend Micro desde 2012 e posteriormente pelo Mandiant/FireEye, CrowdStrike e outros. Suas operações refletem diretamente os interesses estratégicos da República Popular da China - particularmente em relação ao status de Taiwan, relações com o Japão e supressão de narrativas jornalísticas desfavoráveis ao governo chinês. O grupo foi o primeiro APT chinês documentado operando explicitamente em resposta a cobertura jornalística - a violação ao New York Times em outubro de 2012 ocorreu imediatamente após a públicação de matéria investigativa sobre a fortuna acumulada pela família do então Primeiro-Ministro Wen Jiabao. O ataque comprometeu as senhas corporativas de todos os funcionários do jornal, acessou os e-mails do editor do bureau da Ásia, David Barboza, e manteve presença persistente por mais de quatro meses antes da detecção. **Características operacionais do APT12:** - **Spear-phishing com documentos PDF/Office armados**: o grupo explora vulnerabilidades em Adobe Acrobat, Adobe Reader, Flash Player e Microsoft Office para execução inicial - **DNS Calculation (DNSCALC)**: técnica proprietária de calcular portas C2 a partir de resolução de DNS - dificulta bloqueio por listas negras de IP estáticas - **Infraestrutura de C2 distribuída e comprometida**: o grupo acumulou 60+ servidores C2 comprometidos até 2012, majoritariamente em Taiwan e nos EUA - **Adaptação pós-exposição**: após cada exposição pública, o APT12 cessa operações temporariamente, moderniza infraestrutura e retorna com novo arsenal - **Documentos de isca em chinês tradicional**: confirmando o foco em alvos de língua chinesa (Taiwan) como prioridade estratégica ## Campanhas Documentadas ### Violação ao New York Times (Outubro 2012) O ataque mais documentado do APT12 foi a violação aos sistemas do New York Times, iniciada em outubro de 2012, imediatamente após a públicação de investigação sobre Wen Jiabao. Os computadores usados para lançar o ataque foram os mesmos computadores universitários usados pelo militar chinês em ataques anteriores contra contratantes de defesa americanos. **O que foi comprometido:** - Senhas corporativas de todos os funcionários do NYT - E-mails do editor do bureau da Ásia David Barboza (que escreveu a matéria sobre Wen) - E-mails do chefe do bureau no sul da Ásia - Acesso mantido por mais de quatro meses antes da detecção O APT12 usou versões atualizadas do Aumlib (codificação de POST requests com dados BIOS/IP/OS da vítima) e Ixeshe para a campanha. Após exposição pelo NYT em janeiro de 2013, o grupo cessou atividades e retornou meses depois com arsenal modernizado. ### Campanha Taiwan - Verão 2014 Em agosto de 2014, o Mandiant descobriu nova campanha do APT12 contra múltiplas organizações governamentais em Taiwan, com ataques concentrados entre 22 e 28 de agosto. A campanha usou o malware HighTide, distribuído via spear-phishing com documentos Word explorando CVE-2012-0158. Contas de e-mail comprometidas de funcionários do governo taiwanês foram usadas para enviar os spear-phishing, aumentando a credibilidade dos ataques. ### Campanha contra Japão e Taiwan - Arbor Networks (2014) Um relatório da Arbor Networks de junho de 2014 detalhou o uso do ETUMBOT pelo APT12 em ataques direcionados a Taiwan e Japão. O ETUMBOT usava um caractere Únicode oculto em filenames para reverter a ordem dos caracteres, fazendo arquivos `.scr` parecerem arquivos `.xls` - técnica de mascaramento de extensão. O malware usava RC4 para criptografar comúnicações e Base64 para codificação de dados. ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[ixeshe\|Ixeshe]] | Backdoor | C2 codificado em Base64; lista processos/serviços; download/upload; shell remoto | | [[s0003-riptide\|RIPTIDE]] | Backdoor proxy-aware | Evolução do Ixeshe; navega por firewalls via proxies | | [[etumbot\|ETUMBOT]] | Backdoor | RC4 + Base64; mascaramento de extensão com Únicode; Taiwan/Japan | | [[hightide\|HighTide]] | Backdoor | User-Agent modificado; URI estruturado diferente; variante 2014 | | [[s0040-htran\|HTRAN]] | Proxy/tunnel | Redireciona tráfego para mascarar origem dos ataques | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | PDFs e documentos Office com exploits embutidos | | Execution | Exploitation for Client Exec | [[t1203-exploitation-for-client-execution\|T1203]] | Adobe Reader, Flash, Office (CVE-2012-0158) | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Vítima abre documento armado via spear-phishing | | C2 | Bidirectional Commúnication | [[t1102-002-bidirectional-communication\|T1102.002]] | C2 via servidores comprometidos com comunicação bidirecional | | C2 | DNS Calculation | [[t1568-003-dns-calculation\|T1568.003]] | Portas C2 calculadas dinâmicamente via DNS - dificulta bloqueio | | Defense Evasion | Masquerading | [[t1036-masquerading\|T1036]] | Únicode reverso em filenames; ETUMBOT disfarçado como .xls | | Defense Evasion | Obfuscation | [[t1027-obfuscated-files-or-information\|T1027]] | RC4 + Base64 em comúnicações C2 | ## Attack Flow ```mermaid graph TB A["Spear-phishing PDF ou DOC armado T1566.001 - contas gov comprometidas"] --> B["Exploração CVE-2012-0158 Office CVE-2011-0611 Flash"] B --> C["Implante Ixeshe/RIPTIDE Backdoor persistente Base64+RC4 C2"] C --> D["DNS Calculation C2 T1568.003 - portas dinâmicas 60+ servidores comprometidos"] D --> E["Reconhecimento Interno Lista processos/drives Credenciais de usuário"] E --> F["Exfiltração Documentos gov Taiwan Senhas e e-mails"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#145a32,color:#fff ``` ## Linha do Tempo ```mermaid timeline title APT12 - Evolução Operacional 2005-2009 : Operações iniciais atribuídas ao grupo : Alvo East Asian governments 2009-2011 : Trend Micro documenta campanhas Ixeshe : Foco em Taiwan, eletrônicos, telecom 2012 : Violação ao New York Times : Motivo - reportagem sobre Wen Jiabao 2013 : NYT publica detalhes do ataque : Mandiant atribui publicamente ao APT12 : Grupo cessa temporariamente, moderniza arsenal 2014 : Retorno com ETUMBOT e HighTide : Campanha Taiwan governo agosto 2014 : Relatório Arbor Networks sobre Taiwan/Japão 2015-2024 : Operações continuadas com menor visibilidade : Foco em Taiwan alinhado com tensões do estreito ``` ## Relevância para o Brasil e LATAM > [!medium] Risco Indireto via Mídia e Diplomacia > O APT12 tem foco estratégico em Taiwan, Japão e entidades relacionadas à política chinesa. O Brasil, como membro permanente do G20 com relações diplomáticas significativas com a China e Taiwan, possui veículos de mídia e entidades diplomáticas que podem ser alvos periféricos de campanhas do grupo. **Vetores de risco para o Brasil:** 1. **Veículos de mídia**: jornalistas e correspondentes brasileiros que cobrem política chinesa ou relações Taiwan-China são perfil de interesse para campanhas de spear-phishing do APT12 - replicando o padrão da violação ao NYT 2. **Entidades diplomáticas**: embaixadas e missões brasileiras em países do interesse do APT12 (Taiwan, Japão, Coreia do Sul) podem ser vetores de comprometimento via watering-hole ou spear-phishing 3. **Empresas de tecnologia**: o perfil setorial do APT12 inclui manufatureiras de eletrônicos e empresas de telecomúnicações - setores com presença significativa no Brasil em cadeias de fornecimento globais **Indicadores de alerta**: uso de HTRAN para mascarar origem de conexões, documentos PDF com exploits de Adobe ou arquivos Word com CVE-2012-0158 enviados de endereços gov comprometidos. ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | PDF malicioso explorando Adobe Reader | T1203 | Sandbox de e-mail + desabilitar JavaScript em PDF | | Documento Word explorando CVE-2012-0158 | T1203 | Patch obrigatório + EDR análise de macro | | Resolução DNS seguida de conexão em porta calculada | T1568.003 | Monitoramento DNS + detecção de padrão de porta DNSCALC | | Tráfego C2 codificado em Base64 via HTTP | T1102.002 | Proxy SSL inspection + detecção de padrão URI IXESHE | | Arquivo .scr disfarçado de .xls (Únicode reverso) | T1036 | Verificação de extensão real vs. nome exibido | | Conexões a IPs comprometidos na Taiwan/EUA | T1041 | Threat intelligence feed com IOCs do APT12 | ## Referências - [1](https://attack.mitre.org/groups/G0005/) MITRE ATT&CK - APT12 (G0005) - [2](https://www.nytimes.com/2013/01/31/technology/chinese-hackers-infiltrate-new-york-times-computers.html) New York Times - Chinese Hackers Infiltrate NYT Computers (2013) - [3](https://cloud.google.com/blog/topics/threat-intelligence/darwins-favorite-apt-group-2/) Mandiant/Google Cloud - Darwin's Favorite APT Group: APT12 Evolution (2014) - [4](https://www.securityscientist.net/blog/apt12-g0005-chinese-cyber-espionage/) Security Scientist - APT12 G0005: Chinese Cyber Espionage Analysis (2026) - [5](https://en.wikipedia.org/wiki/APT12) Wikipedia - Numbered Panda / APT12 - [6](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=APT+12%2C+Numbered+Panda) ETDA Threat Group Cards - APT12 (2025) **Malware:** [[ixeshe|Ixeshe]] · [[s0003-riptide|RIPTIDE]] · [[etumbot|ETUMBOT]] · [[hightide|HighTide]] · [[s0040-htran|HTRAN]] **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1568-003-dns-calculation|T1568.003]] · [[t1203-exploitation-for-client-execution|T1203]] · [[t1036-masquerading|T1036]] **Setores:** [[government|Governo]] · [[media|Mídia]] · [[technology|Tecnologia]] · [[defense|Defesa]] **Relacionados:** [[g0006-apt1|APT1 (Comment Crew)]] · [[g0096-apt41|APT41]] · [[g0045-apt10|APT10]]