g0013-apt30 - RunkIntel

# APT30 > [!high] APT Chinês com Operações Contínuas desde 2005 - Foco em ASEAN e Air-Gap > **APT30** (também rastreado como Override Panda, RADIUM e Raspberry Typhoon) é um dos grupos de espionagem cibernética de origem chinesa com maior longevidade documentada, operando continuamente desde pelo menos 2005. Especializado em alvos governamentais, diplomáticos e de defesa na **Ásia do Pacífico e ASEAN**, o grupo é notável por sua capacidade de comprometer redes isoladas via USB - uma funcionalidade presente em seu arsenal desde os primeiros anos de operação. ## Visão Geral O APT30 foi identificado e documentado pelo FireEye em 2015 em um relatório extenso que revelou mais de uma década de operações focadas em membros da **Associação de Nações do Sudeste Asiático (ASEAN)** - Tailândia, Malásia, Indonésia, Filipinas, Vietnam, Cingapura - além da Índia, Japão e Coreia do Sul. A longevidade do grupo é sua característica mais marcante: ao contrário de APTs que renovam constantemente suas ferramentas, o APT30 utilizou as mesmas famílias de malware por mais de dez anos com apenas adaptações incrementais. A **capacidade air-gap** do grupo é técnicamente notável para um grupo que operava em 2005. O malware [[s0036-flashflood|FLASHFLOOD]] foi projetado específicamente para se propagar via USB e exfiltrar dados de redes fisicamente isoladas - uma técnica que se tornaria mais conhecida com o Stuxnet (2010). Esta funcionalidade sugere que o APT30 recebeu recursos significativos e tinha mandato de inteligência que incluía alvos protegidos por air-gap - possívelmente redes de defesa e governamentais de alto sigilo. O arsenal do APT30 é modular e hierárquico: [[s0034-neteagle|NETEAGLE]] serve como backdoor de primeiro estágio para reconhecimento, [[s0031-backspace|BACKSPACE]] é o backdoor principal para persistência e C2, [[s0028-shipshape|SHIPSHAPE]] e [[s0035-spaceship|SPACESHIP]] são loaders que carregam payloads adicionais, e [[s0036-flashflood|FLASHFLOOD]] é o componente especializado em USB. O uso de DNS como canal de comunicação para C2 é uma característica do grupo, misturando tráfego malicioso com consultas DNS legítimas. O foco geográfico do APT30 no Sudeste Asiático alinha-se com os interesses estratégicos chineses na região: disputas territoriais no Mar do Sul da China, monitoramento de aliados dos EUA, vigilância de atividades militares regionais e espionagem econômica relacionada às rotas comerciais do Estreito de Málaca. A presença do grupo em disputas diplomáticas da ASEAN e reuniões ministeriais como alvos prioritários sugere missão de inteligência política de alto nível. **Características operacionais:** - Operações ininterruptas por mais de 15 anos com o mesmo conjunto de ferramentas - Capacidade air-gap via USB - funcionalidade rara e de alto custo de desenvolvimento - C2 via DNS - difícil detecção em ambientes sem inspeção de DNS - Foco exclusivo em ASEAN e região Indo-Pacífica - missão regional de longo prazo ## Attack Flow - Comprometimento Diplomático ```mermaid graph TB A["Reconhecimento OSINT de alvos ASEAN Entidades governamentais"] --> B["Acesso Inicial Spearphishing com anexo T1566.001 - documento Office"] B --> C["Execução Arquivo malicioso aberto T1204.002 - macro"] C --> D["NETEAGLE Implantado Backdoor 1o estagio Reconhecimento de rede"] D --> E["BACKSPACE Instalado Backdoor persistente C2 via DNS"] E --> F["USB Air-Gap FLASHFLOOD em USB T1052.001 - exfiltração"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff ``` ## Linha do Tempo ```mermaid timeline title APT30 - Cronologia de Operacoes 2005 : Primeiras operacoes documentadas : Arsenal inicial desenvolvido : Foco em ASEAN 2010-2012 : Expansao de alvos : India e Japao incluidos : FLASHFLOOD - air-gap ativo 2015 : FireEye publica relatorio extenso : Decada de operacoes revelada : Nome APT30 consolidado 2020-2025 : Microsoft rastreia como RADIUM : Novos alvos no Indo-Pacifico : Operacoes continuadas ``` ## Arsenal Técnico | Ferramenta | Categoria | Função Principal | |-----------|-----------|-----------------| | [[s0031-backspace\|BACKSPACE]] | Backdoor principal | C2 persistente via DNS; upload/download; shell remoto | | [[s0034-neteagle\|NETEAGLE]] | Backdoor inicial | Reconhecimento de rede; inventário de sistema | | [[s0028-shipshape\|SHIPSHAPE]] | Loader | Carrega payloads de segundo estágio | | [[s0035-spaceship\|SPACESHIP]] | Loader | Carrega módulos adicionais em memória | | [[s0036-flashflood\|FLASHFLOOD]] | Módulo USB | Propagação air-gap; exfiltração via USB oculto | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office com macro para alvos governamentais ASEAN | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Vítima abre documento armado com payload | | Exfiltration | Exfiltration Over USB | [[t1052-001-exfiltration-over-usb\|T1052.001]] | FLASHFLOOD exfiltra dados via USB de redes air-gap | | Lateral Movement | Replication via USB | [[t1091-replication-through-removable-media\|T1091]] | FLASHFLOOD se propaga automaticamente via USB | | C2 | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | BACKSPACE usa DNS/HTTP para C2 | ## Relevância para o Brasil e LATAM > [!low] Foco Regional Indo-Pacífico - Relevância Técnica para Analistas Brasileiros > O APT30 mantém foco operacional exclusivo no Sudeste Asiático e ASEAN. Não há histórico documentado de operações contra o Brasil ou LATAM. O valor desta nota para analistas brasileiros é técnico: a capacidade air-gap via USB do grupo é referência para avaliação de ameaças similares em setores sensíveis brasileiros. Para organizações brasileiras, os pontos relevantes do APT30 são: 1. **Capacidade air-gap como referência**: o FLASHFLOOD é um dos primeiros malwares documentados com capacidade de comprometer redes air-gap via USB - conceito importante para defesa de setores como energia nuclear, defesa e infraestrutura crítica no Brasil 2. **Arsenal lonevo**: o grupo operou com as mesmas ferramentas por 15+ anos - IOCs antigos ainda podem ser relevantes e devem ser mantidos em feeds de detecção 3. **C2 via DNS**: a técnica de C2 via DNS é amplamente replicada - identificação de DNS tunneling é competência crítica para SOCs brasileiros independente do ator ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | BACKSPACE - comunicação DNS incomum de processo do sistema | T1071.001 | DNS inspection - alertar em consultas DNS suspeitas de processos do sistema | | FLASHFLOOD - criação automática de arquivos em USB conectado | T1052.001 | Controle de USB em estações sensíveis; monitorar autorun | | NETEAGLE - enumeração de rede por processo não esperado | T1204.002 | EDR behavioral - alertar em network scan por processos de usuario | | Documento Office executando cmd.exe ou powershell | T1566.001 | Protected View obrigatório; sandbox de documentos externos | **Mitigações prioritárias:** Controle de dispositivos USB ([[m1034-limit-hardware-installation|M1034]]), inspeção de DNS ([[m1037-filter-network-traffic|M1037]]) e proteção de documentos Office ([[m1049-antivirus-antimalware|M1049]]). ## Referências - [1](https://attack.mitre.org/groups/G0013/) MITRE ATT&CK - APT30 (G0013) - [2](https://www.mandiant.com/resources/apt30-and-the-mechanics-of-a-long-running-cyber-espionage-operation) FireEye/Mandiant - APT30 and the Mechanics of a Long-Running Cyber Espionage Operation (2015) - [3](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=APT30) ETDA Threat Group Cards - APT30 - [4](https://malpedia.caad.fkie.fraunhofer.de/actor/apt30) Malpedia - APT30 Actor Profile **Malware:** [[s0031-backspace|BACKSPACE]] · [[s0034-neteagle|NETEAGLE]] · [[s0036-flashflood|FLASHFLOOD]] · [[s0028-shipshape|SHIPSHAPE]] **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1052-001-exfiltration-over-usb|T1052.001]] · [[t1091-replication-through-removable-media|T1091]] **Setores:** [[government|Governo]] · [[defense|Defesa]] · [[diplomatic|Diplomático]] **Relacionados:** [[g0019-naikon|Naikon]] · [[g0096-apt41|APT41]] · [[g0025-apt17|APT17]]