g0006-apt1 - RunkIntel

# APT1 > [!info] Perfil do Grupo > **APT1** (Comment Crew / Unidade 61398) é o grupo de espionagem cibernética do Exército de Libertação Popular (PLA) chinês mais extensamente documentado da historia. O relatório Mandiant de 2013 expôs sua infraestrutura com detalhes sem precedentes: 141+ vitimas em 20 setores, 6,9 TB de dados exfiltrados confirmados, operações de até 1.764 dias dentro de uma única vitima. Representa o marco zero da era da atribuição pública de APTs. ## Visão Geral **APT1** é atribuído ao **2º Bureau do 3º Departamento do Departamento de Estado-Maior Geral do Exército de Libertação Popular da China** - designado militarmente como **Unidade 61398**. Sediado em Pudong, Xangai, o grupo opera com suporte direto da infraestrutura de telecomúnicações da China Telecom sob pretexto de "necesidade especial". **Características operacionais:** - Ativo desde pelo menos **2006**, com documentação sistematica a partir de 2010 - Especialização em **espionagem de longa duração** - dwell time médio de 356 dias por vitima, máximo de 1.764 dias - Foco em **exfiltração de email** como vetor principal de inteligência estratégica - Infraestrutura de C2 baseada exclusivamente em Shanghai (AS4812, China Telecom) - Mais de **40 familias de malware** customizadas documentadas pelo Mandiant - **141+ organizações vitimadas** em 20 setores industriais entre 2006 e 2013 **Motivação central:** coleta de propriedade intelectual estratégica para beneficiar empresas e industrias estatais chinesas - espionagem economica sistematica, não oportunista. ## Campanhas Documentadas ### Operação Comment Crew - 2006 a 2013 A campanha mais extensa documentada públicamente. O Mandiant rastreou o grupo por anos antes de públicar o relatório APT1 em fevereiro de 2013, criando o padrão global de atribuição de APT com evidências forenses detalhadas. **Alvos prioritários por setor:** - Aerospace e defesa (20% das vitimas) - Tecnologia da informação e comunicação - Energia eletrica e petroleo - Transporte e logistica - Pesquisa e desenvolvimento avancado **Método operacional documentado:** 1. Spearphishing com anexos CPL ou documentos Word/Excel com macros maliciosas 2. Instalação de backdoor WEBC2 ou BISCUIT como implantem primario 3. Reconhecimento interno com ferramentas nativas do Windows 4. Exfiltração de arquivos de email via GETMAIL/MAPIGET por meses ou anos 5. Pass-the-Hash lateral para escalar acesso a sistemas de alta relevância ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0109-webc2\|WEBC2]] | Backdoor | Comúnicação C2 via HTTP disfarçada de trafego web legitimo | | [[s0017-biscuit\|BISCUIT]] | Backdoor | Implante primario com capacidade de download e execução | | [[s0345-seasalt\|Seasalt]] | Backdoor | Acesso remoto persistente com keylogging | | [[s0012-poisonivy\|PoisonIvy]] | RAT | Ferramenta de acesso remoto full-featured usada amplamente | | [[s0026-glooxmail\|GLOOXMAIL]] | Exfiltration | Exfiltração via protocolo XMPP/Jábber | | [[mimikatz\|Mimikatz]] | Credential Dumping | Extração de credenciais de memória LSASS | | [[psexec\|PsExec]] | Lateral Movement | Execução remota de comandos para movimento lateral | | [[s0119-cachedump\|Cachedump]] | Credential Dumping | Dump de credenciais cached do registro do Windows | ## Attack Flow - Operação Comment Crew ```mermaid graph TB A["🎣 Spearphishing CPL/DOC malicioso T1566.001/002"] --> B["💥 Execução Exploit documento T1203 - T1204.002"] B --> C["🐚 Implante Inicial WEBC2 / BISCUIT Backdoor persistente"] C --> D["🔑 Coleta Credenciais Mimikatz / LSASS dump Pass-the-Hash T1550.002"] D --> E["🕵️ Reconhecimento Enum de processos T1057 - T1087 - T1135"] E --> F["📧 Coleta de Email GETMAIL / MAPIGET T1114.001/002"] F --> G["📤 Exfiltração Arquivo comprimido T1560.001 - GLOOXMAIL"] ``` ## Timeline do Grupo ```mermaid timeline title APT1 - Linha do Tempo 2006 : Primeiros comprometimentos documentados : Foco em alvos americanos de defesa 2010 : Escalada de operações : 141+ organizações vitimadas 2013 : Relatório Mandiant publicado : Exposição da Unidade 61398 : Cobertura global sem precedentes 2014 : Retração de atividade pós-exposição : Reconfiguração de infraestrutura 2020 : Ressurgimento de TTPs similares : Novos clusters atribuídos ao PLA 2026 : Atividade em monitoramento : TTPs evoluídos, mesmo DNA ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos CPL/DOC com exploits de cliente | | Credential Access | LSASS Memory | [[t1003-001-lsass-memory\|T1003.001]] | Dump de credenciais da memória LSASS com Mimikatz | | Lateral Movement | Pass the Hash | [[t1550-002-pass-the-hash\|T1550.002]] | Movimento lateral sem re-autenticação via hash NTLM | | Collection | Automated Collection | [[t1119-automated-collection\|T1119]] | Scripts para coleta automatizada de documentos e emails | | Collection | Remote Email Collection | [[t1114-002-remote-email-collection\|T1114.002]] | Acesso a Exchange via GETMAIL/MAPIGET customizados | | Exfiltration | Archive via Utility | [[t1560-001-archive-via-utility\|T1560.001]] | Compressão de dados antes da exfiltração | | Discovery | Network Share Discovery | [[t1135-network-share-discovery\|T1135]] | Mapeamento de compartilhamentos de rede internos | | Defense Evasion | Match Legitimaté Name | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Ferramentas renomeadas para parecer legítimas | ## Relevância para o Brasil e LATAM > [!warning] Risco de Espionagem Industrial > O APT1 foca em **propriedade intelectual de setores estratégicos** - o exato perfil de empresas brasileiras que operam em telecomúnicações, petroleo/gas, aeronautica (Embraer) e tecnologia avançada. Embora o grupo priorize alvos americanos, qualquer empresa brasileira com parcerias tecnológicas americanas ou europeias pode ser vetor de acesso (island-hopping). O Brasil, como maior parceiro comercial da China na América Latina, também pode atrair interesse de inteligência economica. **Vetores de risco para o Brasil:** - **Subsidiarias de multinacionais americanas** sediadas no Brasil são alvos de movimento lateral desde matrizes comprometidas - **Setor aeronautico** (Embraer, AEL, fornecedores) como portadores de IP de alto valor para o PLA - **Empresas de telecomúnicações** com acordos tecnológicos internacionais - **Pesquisadores e academicos** com acesso a projetos de P&D avancado **Indicadores comportamentais:** - Conexões SSH/RDP incomuns para IPs na China Telecom (AS4812) - Comúnicação HTTP mascarada como trafego web benigno (WEBC2) - Acesso anômalo a caixas de email Exchange em horarios incomuns - Criação de contas locais com nomes similares a administradores existentes ## Detecção **Assinaturas de comportamento:** - Processo `WEBC2` ou similares com comunicação HTTP/S para IPs externos fora do horario comercial - Execução de `mimikatz.exe` ou `sekurlsa::logonpasswords` em logs de processo - Acesso em massa a `.pst` e `.ost` (arquivos de email do Outlook) por processos não relacionados ao Outlook - Tentativas de Pass-the-Hash detectaveis por eventos Windows 4624 (tipo de logon 3 com conta de computador) - Compressão de grandes volumes de dados seguida de conexão outbound incomum **Ferramentas de detecção:** - SIEM com regras Sigma para dump de LSASS e Pass-the-Hash - DLP (Data Loss Prevention) monitorando exfiltração de arquivos PST/OST - NDR (Network Detection and Response) para comunicação C2 via HTTP mascarado - EDR com regras para criação de processos suspeitos via PsExec ## Referências - [1](https://www.mandiant.com/resources/blog/apt1-exposing-one-of-chinas-cyber-espionage-units) Mandiant - APT1: Exposing One of China's Cyber Espionage Units (2013) - [2](https://attack.mitre.org/groups/G0006) MITRE ATT&CK - APT1 (G0006) - [3](https://www.justice.gov/opa/pr/us-charges-five-chinese-military-hackers-cyber-espionage-against-us-corporations-and-labor) U.S. DOJ - Charges Against Five Chinese Military Hackers (2014) - [4](https://www.recordedfuture.com/apt1-report-anniversary) Recorded Future - APT1 Ten Years Later (2023) **Atores relacionados:** [[g0096-apt41|APT41]] · [[g1017-volt-typhoon|Volt Typhoon]] · [[g1045-salt-typhoon|Salt Typhoon]] **Setores alvejados:** [[technology|Tecnologia]] · [[aerospace|Aeroespacial]] · [[defense|Defesa]] · [[telecommunications|Telecomúnicações]] · [[energy|Energia]] **TTPs principais:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1003-001-lsass-memory|T1003.001]] · [[t1550-002-pass-the-hash|T1550.002]] · [[t1114-002-remote-email-collection|T1114.002]] · [[t1119-automated-collection|T1119]] **Malware:** [[s0109-webc2|WEBC2]] · [[s0017-biscuit|BISCUIT]] · [[s0012-poisonivy|PoisonIvy]] · [[mimikatz|Mimikatz]]