# Naikon ## Visão Geral **Naikon** (MITRE G0019) e um grupo de ciberespionagem patrocinado pelo Estado chines, atribuido ao **Bureau de Reconhecimento Tecnico da Regiao Militar de Chengdu do ELP** - específicamente a **Unidade Militar 78020** (PLA Chengdu Military Region Second Technical Reconnaissance Bureau). O grupo foi revelado em 2015 pela Kaspersky e ThreatConnect, que o ligaram ao interesse estratégico da China no **Mar do Sul da China** e nos paises da **ASEAN**. Após a exposicao em 2015, o Naikon desapareceu por quase cinco anos. Em **maio de 2020**, o grupo retornou com um novo backdoor - **Aria-Body** - para comprometimentos de ministerios de governo na regiao Asia-Pacifico. Uma investigação da **Bitdefender** em 2021 documentou uma campanha de **21 meses** (junho 2019 - marco 2021) contra organizacoes militares no Sudeste Asiatico. > [!info] Nota de Atribuicao > Kaspersky (2015) observou que o Naikon "se alinha" com o APT30, mas sem correspondencia exata. O alias "Lotus Panda" nao deve ser confundido com [[g0030-raspberry-typhoon|Lotus Blossom]] (G0030) - sao grupos diferentes rastreados sob nomes similares por diferentes vendors. ## Atribuicao | Atributo | Detalhe | |---------|---------| | Unidade PLA | Unit 78020 - Chengdu Military Region 2nd TRB | | Mandato | Inteligência de regiao borda SE Asia; análise politica | | Foco geografico | Mar do Sul da China; ASEAN | | Publicacao atribuicao | ThreatConnect + Defense Group (2015) | ## Attack Flow - Espionagem Governamental ```mermaid graph TB A["Spearphishing<br/>T1566.001 Documento malicioso<br/>tema governo / militar"] --> B["Execução<br/>T1204.002 Abertura de arquivo<br/>Aria-Body loader inicial"] B --> C["Persistência Dupla<br/>Nebulae como backup<br/>Registry Run Keys"] C --> D["Reconhecimento<br/>T1046 Network scan<br/>T1016 Config discovery"] D --> E["RainyDay Deploy<br/>Stage 2 - lateral movement<br/>proxy tools e scanners"] E --> F["Coleta e Exfil<br/>Arquivos recentes<br/>Dropbox / C2 direto"] style A fill:#1a3a5c,color:#fff style B fill:#2c5282,color:#fff style C fill:#8e44ad,color:#fff style D fill:#d68910,color:#fff style E fill:#c0392b,color:#fff style F fill:#196f3d,color:#fff ``` ## Arsenal Tecnico - Campanha 2019-2021 ### RainyDay (aka FoundCore) O [[s0629-rainyday|RainyDay]] foi o backdoor primario da campanha documentada pela Bitdefender. Capacidades: reconhecimento, deploy de payloads adicionais, movimento lateral, persistência e exfiltração. Executado via **DLL sideloading** abusando de aplicativos legitimos como Outlook Item Finder, McAfee VirusScan, e outros. ### Nebulae - Backdoor de Backup O [[s0630-nebulae|Nebulae]] e implantado como **segundo fator de persistência** - se o RainyDay for detectado, o Nebulae mantém acesso. Capacidades: informações de drive lógico, manipulação de arquivos e pastas, download/upload para C2. O mecanismo de backup para persistência e uma indicacao de maturidade operacional. ### Aria-Body - 2020 Um novo backdoor introduzido em 2020 após 5 anos de silencio. Usado para intrucoes em redes governamentais, com infraestrutura C2 específica ao Naikon identificada pelo CheckPoint (dominio `dns.seekvibega.com`). ## Aplicativos Legitimos Abusados para DLL Sideloading O Naikon e notavel pelo padrao de abuso sistematico de software legitimo para sideloading: - ARO 2012 Tutorial 8.0.12.0 - McAfee VirusScan On-Demand Scan Task Properties - Sandboxie COM Services 3.55.06 - Outlook Item Finder 11.0.5510 (Microsoft) - Mobile Popup Application 16.00 (Quick Heal Technologies) ## Diagrama de Toolset ```mermaid graph TB subgraph "2010-2015 Arsenal Original" T1["RARSTONE<br/>Backdoor legado"] T2["HDoor<br/>Proxy tool"] T3["WinMM<br/>Loader"] end subgraph "2019-2021 Arsenal Renovado" T4["Aria-Body Loader<br/>2020 comeback"] T5["RainyDay<br/>Primary backdoor"] T6["Nebulae<br/>Backup persistence"] end subgraph "Técnicas Transversais" T7["DLL Sideloading<br/>Apps legitimos"] T8["Dropbox / C2<br/>Exfiltração stealth"] end T4 --> T5 T5 --> T6 T5 --> T7 T6 --> T8 ``` ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1574-001-dll|T1574.001 - DLL Sideloading]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Masquerading]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] ## Software Utilizado - [[s0629-rainyday|RainyDay]] - [[s0630-nebulae|Nebulae]] - [[s0055-rarstone|RARSTONE]] - [[s0061-hdoor|HDoor]] - [[s0059-winmm|WinMM]] ## Relevância para o Brasil e LATAM > [!info] Risco Baixo-Negligenciavel para Brasil > Naikon e **geograficamente especializado** no Sudeste Asiatico e ASEAN. Nenhuma operação documentada em LATAM em 14+ anos de atividade conhecida. O mandato da Unidade 78020 e explicito: paises da borda SE Asia relevantes para o Mar do Sul da China. Embora o Brasil como **principal economia emergente** tenha potencial interesse estratégico para a China, uma operação do Naikon em LATAM representaria uma **mudança estratégica significativa** sem precedente documentado. O risco e classificado como baixo-negligenciavel para o Brasil específicamente. **Contudo**, o Naikon e relevante do ponto de vista do **entendimento do ecosistema de APTs chineses** - sua conexão documentada com a PLA Unit 78020 ilustra como unidades militares específicas conduzem espionagem geografica focada. ## Referências - [MITRE ATT&CK - Naikon (G0019)](https://attack.mitre.org/groups/G0019/) - [Bitdefender - Naikon APT: Nebulae Backdoor (2021)](https://www.bitdefender.com/en-au/blog/labs/new-nebulae-backdoor-linked-with-the-naikon-group) - [CheckPoint - Operation Aria-Body (2020)](https://research.checkpoint.com/) - [ThreatConnect - PLA Unit 78020 Attribution (2015)](https://threatconnect.com/) - [Kaspersky - The Naikon APT (2015)](https://securelist.com/)