# PittyTiger
## Visão Geral
**PittyTiger** (rastreado como **APT24** pela Mandiant/FireEye) é um grupo de espionagem cibernética de origem chinesa ativo desde pelo menos 2011. O grupo desenvolve e opera um arsenal diversificado de RATs customizados, incluindo o PittyTiger RAT proprietário, variantes de [[gh0st-rat|gh0st RAT]] (Paladin RAT, Leo RAT) e backdoors exclusivos como MM RAT (Troj/Goldsun-B) e CT RAT.
Ao contrário de grandes APTs patrocinados pelo Estado, pesquisadores da Airbus Defence and Space avaliaram que o PittyTiger provavelmente **não é** um grupo estatal, sendo classificado como **grupo oportunista** que vende seus serviços a competidores dos alvos. O grupo é pequeno e opera em um número reduzido de alvos altamente selecionados.
**Também conhecido como:** PittyTiger, APT24, Pitty Tiger
## Attack Flow - Espionagem Corporativa com RAT Customizado
```mermaid
graph TB
A["📧 Spear-phishing<br/>Documento Word/Excel<br/>Isca temática corporativa"] --> B["💥 Exploit Office<br/>CVE-2012-0158<br/>CVE-2014-1761"]
B --> C["📦 Troj/ReRol.A<br/>Payload inicial<br/>Primeiro estágio"]
C --> D["🐀 PittyTiger RAT<br/>C2 estabelecido<br/>Controle remoto"]
D --> E["🔑 Coleta Credenciais<br/>Mimikatz / gsecdump<br/>LSASS dump"]
E --> F["🕵️ Reconhecimento<br/>gh0st RAT / Lurid<br/>Mapeamento de rede"]
F --> G["📤 Exfiltração<br/>Documentos corporativos<br/>Inteligência estratégica"]
classDef phish fill:#c0392b,color:#fff,stroke:#922b21
classDef exploit fill:#e74c3c,color:#fff,stroke:#c0392b
classDef payload fill:#e67e22,color:#fff,stroke:#d35400
classDef rat fill:#8e44ad,color:#fff,stroke:#6c3483
classDef cred fill:#1a5276,color:#fff,stroke:#154360
classDef recon fill:#2471a3,color:#fff,stroke:#1a5276
classDef exfil fill:#196f3d,color:#fff,stroke:#145a32
class A phish
class B exploit
class C payload
class D rat
class E cred
class F recon
class G exfil
```
> [!info] Grupo Oportunista - Não Estatal
> Pesquisadores da Airbus classificam PittyTiger como grupo mercenário que vende acesso a competidores dos alvos - diferenciando-o dos grandes APTs estatais chineses. Menor sofisticação técnica, porém alta discrição operacional.
## Arsenal de Malware
| Malware | Tipo | Observacoes |
|---------|------|-------------|
| [[gh0st-rat\|gh0st RAT (Paladin)]] | RAT | Variante customizada com keylogging, screen capture, shell remoto |
| PittyTiger RAT | RAT proprietário | Backdoor exclusivo do grupo, identificado pela Airbus em 2014 |
| MM RAT (Troj/Goldsun-B) | RAT | Backdoor customizado exclusivo do grupo |
| CT RAT | RAT | Ferramenta interna para C2 persistente |
| Leo RAT | RAT | Variante de gh0st encontrada inativa em servidor C2 |
| [[s0010-lurid\|Lurid]] | RAT | Backdoor adicional para persistência |
| [[s0012-poisonivy\|PoisonIvy]] | RAT | RAT público para acesso inicial |
| [[mimikatz\|Mimikatz]] | Credential Dumper | Extração de credenciais LSASS |
| [[s0008-gsecdump\|gsecdump]] | Credential Dumper | SAM e LSA secrets dump |
## Técnicas MITRE ATT&CK
| Técnica | ID | Uso |
|---------|----|-----|
| Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office com exploits CVE-2012-0158 e CVE-2014-1761 |
| Valid Accounts | [[t1078-valid-accounts\|T1078]] | Obtenção de credenciais legítimas durante operações |
| Malicious File Execution | [[t1204-002-malicious-file\|T1204.002]] | Execução via engenharia social |
| Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Mimikatz e gsecdump para extração de credenciais |
| Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas via gh0st RAT |
| Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução pós-comprometimento |
## Vetores de Ataque
O PittyTiger utiliza **duas principais técnicas** de comprometimento inicial:
1. **Spear-phishing com documentos weaponizados** - e-mails com documentos Word/Excel explorando vulnerabilidades CVE-2012-0158 (MS12-027) e CVE-2014-1761. Documentos às vezes com proteção por senha para evitar análise automatizada.
2. **Drive-by downloads** - comprometimento via sites visitados pelas vítimas alvo.
## Setores Visados
```mermaid
graph TB
A["PittyTiger<br/>Alvos Primários"] --> B["Defesa<br/>Aeroespacial"]
A --> C["Telecomúnicações<br/>Infraestrutura"]
A --> D["Tecnologia<br/>P&D Corporativo"]
A --> E["Saúde<br/>Biotecnologia"]
A --> F["Mineração<br/>Recursos Estratégicos"]
A --> G["Governo<br/>Entidades Diplomáticas"]
style A fill:#c0392b,color:#fff
style B fill:#1a5276,color:#fff
style C fill:#2471a3,color:#fff
style D fill:#8e44ad,color:#fff
style E fill:#27ae60,color:#fff
style F fill:#e67e22,color:#fff
style G fill:#196f3d,color:#fff
```
## Grupos Relacionados
| Grupo | Relação | ID MITRE |
|-------|---------|----------|
| [[g0096-apt41\|APT41]] | Compartilha ferramentas (gh0st RAT), origem chinesa | G0096 |
| [[g0045-apt10\|APT10]] | Uso de PoisonIvy e origem chinesa | G0045 |
| [[g0006-apt1\|APT1]] | APT chinês com foco em espionagem industrial | G0006 |
## Relevância para o Brasil e LATAM
O PittyTiger representa risco para organizações brasileiras nos setores de **defesa, mineração e telecomúnicações**. O grupo tem histórico em roubo de propriedade intelectual em setores de interesse estratégico - coincidindo com os segmentos de maior relevância econômica para o Brasil (Embraer/aeroespacial, Vale/mineração, Petrobras/energia, Telebras/telecomúnicações).
A característica de grupo **mercenário** torna o PittyTiger especialmente relevante: empresas brasileiras em disputa de contratos internacionais ou com competidores asiáticos podem ser alvos contratados. O uso de credenciais legítimas para movimentação pós-comprometimento dificulta a detecção por soluções de segurança perimetral tradicionais.
> [!warning] Risco para Setor Corporativo Brasileiro
> Empresas brasileiras em setores de minério, aeroespacial e telecom com competidores asiáticos devem considerar PittyTiger como ameaça plausível de espionagem corporativa via terceiros mercenários.
## Referências
- [1](https://github.com/lukaszbb/apt-analysis/blob/master/reports_txt/2014/Pitty_Tiger_Final_Report.txt) Airbus Defence - Operation Pitty Tiger - The Eye of the Tiger (2014)
- [2](https://attack.mitre.org/groups/G0011/) MITRE ATT&CK - PittyTiger G0011
- [3](https://www.hhs.gov/sites/default/files/china-based-threat-actor-profiles-tlpclear.pdf) HHS - China-Based Threat Actor Profiles (2020)
- [4](https://www.hhs.gov/sites/default/files/apt-and-cybercriminal-targeting-of-hcs.pdf) HHS - APT and Cybercriminal Targeting of HCS