# Deep Panda > [!danger] Espionagem MSS China - Breach OPM e Anthem > Deep Panda e o grupo responsavel pelas maiores brechas de dados pessoais da historia dos EUA: 4 milhões de funcionarios federais (OPM) e 78 milhões de beneficiarios de saúde (Anthem). Diferente de grupos PLA, opera vinculado ao Ministerio de Segurança do Estado chines focado em contra-inteligência. ## Visão Geral Deep Panda (Shell Crew) e um grupo de espionagem cibernética suspeito de operar vinculado ao Ministerio de Segurança do Estado (MSS) da China, em contraste com grupos do Exercito de Liberacao do Povo (PLA) como APT1. Enquanto grupos PLA visam segredos de defesa e industriais, Deep Panda foca em **dados pessoais em massa** - informações de credenciais de segurança federal, registros medicos e dados de identidade que permitem contra-inteligência sofisticada e recrutamento de agentes. A firma RSA (Shell Crew) documentou em primeira mao como o grupo operas em duas fases: uma equipe técnica que compromete redes e mapeia dados, e uma equipe analitica especializada que determina o que roubar - uma estrutura operacional incomum para APTs. **Também conhecido como:** Shell Crew, WebMasters, KungFu Kittens, PinkPanther, Black Vine, BRONZE FIRESTONE, Codoso, Checkered Typhoon, TEMP.Avengers, Sunshop Group ## Campanhas Documentadas | Campanha | Ano | Registros Comprometidos | Tipo de Dados | | -------- | --- | ----------------------- | ------------- | | Anthem Healthcare Breach | 2015 | 78,8 milhões | Nome, SSN, data nascimento, email | | OPM Breach | 2015 | 4,2 milhões | Credenciais de segurança federal, formularios SF-86 | | Premera Blue Cross | 2015 | 11 milhões | Dados medicos e financeiros | | VAE Inc (defense contractor) | 2014 | N/A | Propriedade intelectual defesa | ## Attack Flow - Espionagem de Dados em Massa ```mermaid graph TB A["Reconhecimento<br/>Pesquisa de organizacoes<br/>com dados pessoais de alto valor"] --> B["Acesso Inicial<br/>T1566.001 Spearphishing<br/>Flash zero-day ou ColdFusion exploit"] B --> C["Persistência Furtiva<br/>T1505.003 Web shell<br/>50+ dias de acesso nao detectado"] C --> D["Mapeamento Interno<br/>T1057 Process Discovery<br/>T1018 Remote System Discovery"] D --> E["Coleta Cirurgica<br/>Sakula/Derusbi exfil<br/>Documentos específicos identificados"] E --> F["Exfiltração Silenciosa<br/>T1021.002 SMB shares<br/>Criptografia de dados em transito"] style A fill:#1a3a5c,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2471a3,color:#fff style F fill:#1e8449,color:#fff ``` ## Infraestrutura de Ataque O grupo usa dominios de fachada sofisticados para C2: - Typosquatting de dominios corporativos: `we11point.com` (Anthem), `sharepoint-vaeit.com` (VAE) - Certificados de assiantura de código roubados da empresa coreana DTOPTOOLZ Co. - Malware Sakula/Derusbi assinado digitalmente com certificado legitimo para evadir detecção ## Timeline ```mermaid timeline title Deep Panda - Cronologia 2011 : Primeiras atividades documentadas contra defesa e energia EUA e Jápao 2013 : RSA (Shell Crew) documenta intrusão em empresa de tecnologia - 50 dias de acesso 2014 : Ataque a VAE Inc (defense contractor) via Derusbi assinado 2015 : Anthem breach (78M registros) + OPM breach (4,2M clearances) 2015 : Premera Blue Cross breach (11M dados medicos) 2016 : Campanha contra MSPs para acesso downstream a multiplas vitimas 2017-2018 : Indiciamentos de operadores associados a APT19 por hacking-for-hire 2023-2024 : Operacoes de coleta de credenciais e acesso continuam ``` ## TTPs Detalhadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - emails precisamente cronometrados com anexos maliciosos - [[t1505-003-web-shell|T1505.003 - Web Shell]] - webshells em servidores públicos para acesso persistente - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução em memoria, sem escrita em disco - [[t1046-network-service-discovery|T1046 - Network Service Scanning]] - mapeamento inicial de rede - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - lateral movement via WMI - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - movimento lateral e coleta via shares - [[t1057-process-discovery|T1057 - Process Discovery]] - listagem de processos via tasklist - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - mapeamento de hosts via ping - [[t1546-008-accessibility-features|T1546.008 - Accessibility Features]] - Sticky Keys bypass em sessoes RDP - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - ocultacao de jánelas PowerShell com `-w hidden` - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - proxy execution de Derusbi via regsvr32.exe - [[t1027-005-indicator-removal-from-tools|T1027.005 - Indicator Removal from Tools]] - modificacao de hashes de malware para evadir AV ## Software Utilizado - [[s0074-sakula|Sakula]] - backdoor principal usado no Anthem e OPM breach; assinado com cert DTOPTOOLZ - [[s0021-derusbi|Derusbi]] - backdoor sofisticado compartilhado com outros grupos chineses MSS - [[s0142-streamex|StreamEx]] - backdoor para acesso remoto persistente - [[s0080-mivast|Mivast]] - malware de acesso inicial e persistência ## Relevância para o Brasil e LATAM Deep Panda representa uma ameaça distinta de espionagem de **dados pessoais em massa**. Organizacoes brasileiras com grandes bases de dados de cidadaos (INSS, Receita Federal, operadoras de saúde, sistemas de seguridade social) sao alvos naturais para o tipo de operação que o grupo conduz. O modelo operacional em duas fases (técnica + analitica) indica que Deep Panda opera com clareza de objetivos: os dados pessoais de funcionarios governamentais e de segurança brasileiros teriam alto valor para servicos de inteligência chineses interessados em monitorar a diplomacia e defesa do Brasil. > [!warning] Risco para Organizacoes Brasileiras > Operadoras de saúde, orgaos de previdência social, e sistemas de RH governamentais com grandes bases de dados de funcionarios sao alvos prioritarios. O padrao de 50+ dias de acesso nao detectado exige monitoramento de web shells e comportamento anomalo de processo em servidores públicos. ## Detecção e Hunting - Detectar Sakula por comportamento: escrita de arquivos em temp + registro de servico Windows - Alertar para regsvr32.exe carregando DLLs de localizacoes nao padrao - Monitorar Sticky Keys bypass (sethc.exe, utilman.exe) em servidores RDP - Hunting por PowerShell com flag `-w hidden` ou execução de encoded commands - Auditar webshells em servidores públicos regularmente ## Referências - [1](https://attack.mitre.org/groups/G0009/) MITRE ATT&CK - G0009 Deep Panda - [2](https://www.ndtv.com/world-news/us-employee-data-breach-tied-to-chinese-intelligence-sources-773477) Reuters/NDTV - OPM Breach Tied to Chinese Intelligence (2015) - [3](https://www.investing.com/news/technology-news/hunt-for-deep-panda-intensifies-in-trenches-of-u.s.-china-cyberwar-347477) Reuters - Hunt for Deep Panda (2015) - [4](https://brandefense.io/wp-content/uploads/2026/02/brandefense.io-apt19-deep-panda-a-persistent-china-aligned-espionage-and-credential-theft-actor-apt19-deep-panda-1-2.pdf) Brandefense - APT19 Deep Panda Profile (2026) - [5](https://www.bankinfosecurity.com/anthem-china-a-7964) Bank Info Security - Anthem Attribution Analysis (2015)