# APT3 ## Visão Geral **APT3** (MITRE G0022), também conhecido como **Gothic Panda** e **Buckeye**, e um grupo de espionagem cibernetica **atribuido com alta confiança ao Ministerio de Segurança do Estado (MSS) da China**. A atribuicao específica aponta para a empresa contratante **Guangzhou Boyu Information Technology Company (Boyusec)**, vinculada ao campo regional do MSS em Guangdong. O grupo e responsavel por tres campanhas historicas: **Operation Clandestine Fox** (2014, exploit zero-day Internet Explorer), **Operation Clandestine Wolf** (2015, Flash zero-day) e **Operation Double Tap** (2014, dois zero-days simultaneos). A partir de **junho de 2015**, o foco mudou de alvos americanos para **organizacoes politicas em Hong Kong**, refletindo prioridades estratégicas do MSS. Em novembro de 2017, **tres membros do APT3 foram indiciados** pelo governo americano por ataques contra Moody's Analytics, Siemens e Trimble. Os suspeitos - Wu Yingzhuo, Dong Hao e Xia Lei - sao associados a Boyusec. > [!danger] Conexão com NSA Equation Group > Em 2019, Symantec revelou que o APT3 (Buckeye) usou ferramentas do Equation Group (NSA) - incluindo o backdoor **DoublePulsar** - pelo menos um ano **antes** do vazamento pelo Shadow Brokers em abril de 2017. O grupo pode ter obtido as ferramentas capturando trafego de rede de uma operação do Equation Group. ## Atribuicao e Status | Atributo | Detalhe | |---------|---------| | Atribuicao | MSS chines via Boyusec (Guangzhou) - alta confiança (Recorded Future) | | Status | **Inativo** desde meados de 2017; indiciamento em novembro de 2017 | | Toolkit pos-exposicao | Bemstour detectado até marco de 2019 (possível retooling ou toolkit compartilhado) | | Atores indiciados | Wu Yingzhuo, Dong Hao, Xia Lei (indiciamento US, novembro 2017) | ## Attack Flow - Campanhas Clandestine ```mermaid graph TB A["Email de Phishing<br/>T1566.002 Link generico<br/>parece spam"] --> B["Redirect para servidor<br/>comprometido<br/>JS profiling do alvo"] B --> C["Exploit de Browser<br/>T1203 IE / Flash<br/>CVE-2014-1776 / CVE-2010-3962"] C --> D["Drop SHOTPUT<br/>Backdoor customizado<br/>aka CookieCutter"] D --> E["Dump de Credenciais<br/>T1110.002 Password cracking<br/>LaZagne / browser creds"] E --> F["Exfiltração<br/>T1041 via C2<br/>PlugX lateral movement"] style A fill:#1a3a5c,color:#fff style B fill:#2c5282,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#d68910,color:#fff style F fill:#196f3d,color:#fff ``` ## Campanhas Principais | Ano | Campanha | CVEs | Alvos | |-----|---------|------|-------| | 2010 | Campanha inicial EUA | CVE-2010-3962 (IE) | Aeroespacial, defesa, tecnologia | | 2014 | Operation Clandestine Fox | CVE-2014-1776 (IE zero-day) | Defesa, governo EUA | | 2015 | Operation Clandestine Wolf | Flash zero-day | Hong Kong - foco politico | | 2015 | Operation Double Tap | Dois zero-days | Organizacoes criticas | | 2016-2017 | Campanha Buckeye DoublePulsar | CVE-2017-0143, CVE-2019-0703 | Hong Kong, Belgica, Filipinas, Vietnam | ## Caracteristicas Técnicas ### SHOTPUT (CookieCutter) O backdoor [[s0063-shotput|SHOTPUT]] e a assinatura técnica do APT3. Entregue após exploração de browser, usa técnicas avancadas de bypass de segurança: **vector corruption para ASLR bypass** e **Return-Oriented Programming (ROP) para DEP bypass**. A sofisticacao nao e trivial e indica recursos para desenvolvimento de exploits de qualidade. ### DoublePulsar (obtido do NSA/Equation Group) A versao usada pelo APT3 era **mais nova** que a vazada pelo Shadow Brokers - compativel com Windows 8.1 e Server 2012 R2. Isso implica que o grupo ou engenheirou sua propria variante a partir de artefatos capturados, ou teve acesso a uma versao mais recente por outros meios. ## Diagrama de Evolução de Targets ```mermaid timeline title Evolução de Alvos APT3 2010-2014 : EUA - Aeroespacial, Defesa, Governo 2014 : Clandestine Fox - IE zero-day CVE-2014-1776 2015 : Pivot para Hong Kong - Organizacoes politicas 2016 : DoublePulsar - HK, Belgica 2017 : Indiciamento US - Operacoes encerradas 2019 : Bemstour detectado - toolkit sobrevive ``` ## Técnicas Utilizadas - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1104-multi-stage-channels|T1104 - Multi-Stage Channels]] - [[t1110-002-password-cracking|T1110.002 - Password Cracking]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1090-002-external-proxy|T1090.002 - External Proxy]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Software Utilizado - [[s0013-plugx|PlugX]] - [[s0063-shotput|SHOTPUT]] - [[s0166-remotecmd|RemoteCMD]] - [[s0349-lazagne|LaZagne]] - [[s0165-osinfo|OSInfo]] ## Relevância para o Brasil e LATAM > [!info] Grupo Inativo mas com Legado Significativo > APT3 e considerado **inativo** desde 2017 após indiciamentos americanos. Contudo, seu arsenal foi possívelmente compartilhado ou transferido - o Bemstour continuou sendo detectado em 2019. O padrao de pivotar de alvos americanos para alvo politico (Hong Kong 2015) demonstra capacidade de reorientacao geografica por ordem do MSS. Para o Brasil, o relevante e: - Organizacoes com conexoes a Hong Kong ou Taiwan podem ser alvo de grupos que herdaram o toolkit do APT3 - O uso de zero-days de browser (IE, Flash) como vetor primario e uma lição para politicas de update agressivo - O modelo de espionagem por empresa contratante (Boyusec-MSS) e replicado por outros grupos chineses ativos hoje ## Referências - [MITRE ATT&CK - APT3 (G0022)](https://attack.mitre.org/groups/G0022/) - [Symantec - Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak](https://www.bleepingcomputer.com/news/security/nsa-hacking-tools-used-by-chinese-hackers-one-year-before-leak/) - [Recorded Future - APT3 atribuido ao MSS](https://archive.org/web/) - [DOJ - Indiciamento 2017](https://www.justice.gov/) - [FireEye - Operation Clandestine Fox](https://www.mandiant.com/)