g0017-dragonok - RunkIntel

# DragonOK > [!warning] **DragonOK** é um grupo de ameaça atribuído a **China** ativo desde **2014**. ## Descrição **DragonOK** (também rastreado como **BRONZE OVERBROOK** pela Secureworks) é um grupo de ameaça de origem chinesa especializado em espionagem corporativa via campanhas de spearphishing direcionadas. O grupo tem como alvos principais organizações de **manufatura e alta tecnologia no Jápão e Taiwan**, com foco na extração de propriedade intelectual. DragonOK é notável pelo arsenal variado de RATs e backdoors personalizados - além dos amplamente usados [[s0013-plugx|PlugX]] e [[s0012-poisonivy|PoisonIvy]], o grupo desenvolveu ferramentas exclusivas como **Sysget/HelloBridge**, **FormerFirstRat**, **NFlog** e **NewCT**, indicando capacidade de desenvolvimento interno. A sobreposição de TTPs e ferramentas com o grupo **Moafee** sugere relação direta ou indireta entre os dois grupos - possívelmente operando como frentes distintas da mesma organização ou compartilhando infraestrutura. O grupo é atribuído à **Província de Jiangsu, China**, com atividade documentada entre 2014 e 2015. Não há relatórios públicos recentes, o que pode indicar quiescência, mudança de nome de rastreamento, ou operações mais furtivas. > [!info] Anti-VM como Técnica de Evasão > DragonOK implementa verificação de CPUs disponíveis antes de executar o payload - se apenas 1 CPU detectada (indicador de ambiente virtual/sandbox), o malware encerra a execução. Documentos com proteção por senha também impedem análise automática por antivírus. ## Arsenal de Malware | Malware | Tipo | Característica | |---------|------|----------------| | [[s0013-plugx\|PlugX]] | RAT | Backdoor modular amplamente usado por APTs chineses | | [[s0012-poisonivy\|PoisonIvy]] | RAT | RAT legado com capacidades de keylogging e webcam | | Sysget / HelloBridge | Backdoor | Ferramenta customizada DragonOK - 5 variantes em 2015 | | FormerFirstRat | RAT | Backdoor customizado menos comum | | NFlog | RAT | Ferramenta interna do grupo | | NewCT | Backdoor | Nova ferramenta identificada por Unit 42 | ## Técnicas MITRE ATT&CK | Técnica | Descrição | |---------|-----------| | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spearphishing Attachment - docs Office ou ZIP maliciosos | | [[t1059-001-powershell\|T1059.001]] | PowerShell - execução de scripts no estágio de pós-exploração | | [[t1071-application-layer-protocol\|T1071]] | Application Layer Protocol - comunicação C2 via HTTP/HTTPS | | [[t1059-003-windows-command-shell\|T1059.003]] | Windows Command Shell - execução de comandos via cmd.exe | ## Relação com Moafee O **Moafee** (G0002) é outro grupo APT chinês com sobreposição significativa de TTPs com o DragonOK: - Uso compartilhado de [[s0013-plugx|PlugX]] e [[s0012-poisonivy|PoisonIvy]] - Estrutura similar de campanhas de spearphishing - Ambos atribuídos à China com foco em espionagem industrial - Possível relação operacional: subgrupos de uma mesma organização ou parceiros ## Campanhas Documentadas - **Janeiro–Março 2015** - Cinco campanhas de spearphishing contra organizações jáponesas, usando 5 variantes distintas do malware Sysget/HelloBridge. Descobertas pela Unit 42 (Palo Alto Networks). - **2014** - Campanhas iniciais de reconhecimento e instalação de backdoors em alvos de manufatura jáponeses. ## Grupos Relacionados - **Moafee** - sobreposição de TTPs e possível relação direta (ver acima) - [[g0096-apt41|APT41]] - usa [[s0013-plugx|PlugX]] e compartilha origem chinesa; sem relação direta documentada - [[g0045-apt10|APT10]] - outro grupo chinês usando [[s0012-poisonivy|PoisonIvy]] e [[s0013-plugx|PlugX]] ## Relevância para o Brasil e LATAM > [!info] Risco Baixo - Foco Estritamente Asiático > O DragonOK tem foco documentado exclusivamente em Jápão e Taiwan (manufatura e alta tecnologia). Não há registro de atividade em LATAM. **Risco direto ao Brasil é negligenciável** com base em evidências públicas. A exceção seria empresas brasileiras com **operações, subsidiárias ou parcerias significativas com o Jápão** (automotivas como Toyota Brasil, Honda Brasil; indústria química) - nessas, o DragonOK poderia usar o branch brasileiro como vetor lateral. O arsenal de RATs ([[s0013-plugx|PlugX]], [[s0012-poisonivy|PoisonIvy]]) compartilhado com outros APTs chineses mais ativos torna monitoramento de IoCs deste grupo relevante para defesa em profundidade. ## Referências - [Unit 42 - New DragonOK Backdoor Malware Deployed Against Jápanese Targets](https://unit42.paloaltonetworks.com/unit-42-identifies-new-dragonok-backdoor-malware-deployed-against-jápanese-targets/) - [Malpedia - DragonOK Threat Actor](https://malpedia.caad.fkie.fraunhofer.de/actor/dragonok) - [Rapid7 - DragonOK Profile](https://docs.rapid7.com/insightidr/dragonok/) - [Secureworks - BRONZE OVERBROOK](https://www.secureworks.com/research/threat-profiles/bronze-overbrook) - [MITRE ATT&CK - G0017](https://attack.mitre.org/groups/G0017/) ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.