g0023-apt16 - RunkIntel

# APT16 > [!medium] APT Chinês com Foco no Japão e Taiwan - Backdoor ELMER e Exploração de EPS > **APT16** (também rastreado como **Bronze Compass** e **SVCMONDR**) é um grupo de espionagem cibernética de origem chinesa com foco documentado no **Japão e Taiwan** - alvos que refletem os interesses estratégicos da China na região. O grupo ficou documentado principalmente por uma campanha de novembro a dezembro de 2015 que explorou o **CVE-2015-2545**, uma vulnerabilidade no parser EPS (Encapsulated PostScript) do Microsoft Office, para implantar o backdoor **ELMER**. Com dados públicos limitados comparado a outros APTs chineses, o APT16 é um grupo de perfil técnico moderado com volume operacional mais restrito. ## Visão Geral O APT16 foi identificado pela Mandiant/FireEye em análise de campanhas de espionagem direcionadas ao Japão e Taiwan, com atividade documentada desde pelo menos 2010. O grupo opera com foco geopolítico claro - seus alvos primários refletem a política chinesa em relação a Taiwan (soberania) e ao Japão (tensões históricas, disputas territoriais no Mar do Leste da China, e monitoramento de alianças militares). Este foco específico diferencia o APT16 de grupos como o [[g0025-apt17|APT17]] (foco global) ou o [[g0013-apt30|APT30]] (ASEAN ampla). O momento de maior atividade documentada foi a campanha de **novembro a dezembro de 2015**, quando o grupo explorou rapidamente o **CVE-2015-2545** - uma vulnerabilidade zero-day no processamento de arquivos EPS embutidos em documentos Microsoft Office. O exploit foi entregue via spear-phishing com documentos Word ou RTF contendo arquivos EPS maliciosos. Ao abrir o documento, a vulnerabilidade era acionada e o backdoor [[s0064-elmer|ELMER]] era instalado sem interação adicional da vítima. A exploração rápida de um zero-day recém-divulgado indica acesso a capacidades de exploit de moderada sofisticação. O **ELMER** (referênciado como IRONHALO em algumas análises) é um backdoor de primeiro estágio relativamente simples - projetado para reconhecimento inicial e para estabelecer acesso persistente enquanto um payload mais completo é avaliado. Suas capacidades incluem enumeração de processos e sistema, execução de comandos remotos, e exfiltração básica de dados. O design modular do ELMER é consistente com o padrão de APTs chineses que usam ferramentas de primeiro estágio leves antes de implantar backdoors mais pesados como [[s0013-plugx|PlugX]] ou [[s0012-poisonivy|Poison Ivy]]. O perfil de alvos é coerente com espionagem política de alto nível: organizações jornalísticas e políticas japonesas cobrindo Taiwan, entidades governamentais em Taipei, empresas de tecnologia com propriedade intelectual sensível para a China, e instituições financeiras na região. A Kaspersky rastreia atividade sobreponível sob o nome **SVCMONDR**, o que sugere que o grupo pode ter mais atividade não atribuída públicamente do que o volume documentado indica. **Características operacionais:** - Foco geopolítico estreito em Japão e Taiwan - missão de inteligência regional - Adoção de zero-day EPS (CVE-2015-2545) em campanha de 2015 - Backdoor ELMER como ferramenta de primeiro estágio enxuta - Comprometimento de servidores legítimos para hospedar infraestrutura C2 ## Attack Flow - Campanha EPS 2015 ```mermaid graph TB A["Reconhecimento Seleção de alvos Japão e Taiwan"] --> B["Spear-phishing Documento Office com EPS T1566.001 - zero-day"] B --> C["CVE-2015-2545 Parser EPS do Office T1203 - execução remota"] C --> D["ELMER Implantado Backdoor primeiro estágio Persistência estabelecida"] D --> E["Reconhecimento Interno Processos, sistema Mapeamento de rede"] E --> F["C2 Callback Servidor comprometido T1584.004"] F --> G["Exfiltração Documentos políticos e dados estratégicos"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff style G fill:#145a32,color:#fff ``` ## Linha do Tempo ```mermaid timeline title APT16 - Cronologia de Operacoes 2010 : Primeiras operacoes documentadas : Foco inicial Japão e Taiwan 2015-Nov-Dez : Campanha CVE-2015-2545 : Zero-day EPS em Office : ELMER distribuído via spearphishing 2016-2017 : FireEye documenta grupo : Nome APT16 consolidado : Kaspersky rastreia como SVCMONDR 2018-2022 : Atividade continuada : Baixo perfil público : Foco regional mantido ``` ## Arsenal Técnico | Ferramenta | Categoria | Características | |-----------|-----------|----------------| | [[s0064-elmer\|ELMER]] | Backdoor de primeiro estágio | Enumeração de processos e sistema; execução de comandos remotos; também referênciado como IRONHALO; entrega via exploit EPS | ## CVE Explorado | CVE | Produto | Vetor | Impacto | |-----|---------|-------|---------| | [[cve-2015-2545\|CVE-2015-2545]] | Microsoft Office (EPS parser) | Documento Office com EPS malicioso | Execução de código arbitrário ao abrir documento | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office com exploit EPS embutido | | Execution | Exploitation for Client Execution | [[t1203-exploitation-for-client-execution\|T1203]] | CVE-2015-2545 - parser EPS do Office executa código | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Vítima abre documento armado | | Resource Development | Server | [[t1584-004-server\|T1584.004]] | Comprometimento de servidores legítimos para C2 | | Initial Access | Phishing | [[t1566-phishing\|T1566]] | Campanhas de phishing direcionadas | ## Relevância para o Brasil e LATAM > [!low] Foco Regional Ásia-Pacífico - Padrão de Exploit Relevante para Analistas > O APT16 mantém foco operacional documentado exclusivamente no Japão e Taiwan. Não há histórico documentado de operações contra o Brasil ou LATAM. O valor desta nota para analistas brasileiros é técnico: o padrão de exploração de vulnerabilidades em parsers de formatos de documento (EPS, RTF, OLE) é amplamente replicado por outros APTs chineses que têm interesse documentado no Brasil. Para organizações brasileiras, os pontos relevantes do APT16 são: 1. **Exploits em parsers de documentos Office**: a exploração do parser EPS (CVE-2015-2545) demonstra que vulnerabilidades em componentes obscuros do Office - não apenas macros - podem ser vetores de comprometimento; patching rigoroso de Office é fundamental mesmo para funcionalidades raramente usadas 2. **ELMER como modelo de primeiro estágio**: o design de backdoor leve para reconhecimento inicial é padrão de múltiplos APTs chineses - detecção precoce de beaconing de primeiro estágio (antes de payload completo) é janela crítica de resposta 3. **Targeting de jornalistas**: o APT16 alveja organizações de mídia que cobrem Taiwan e relações sino-japonesas - correspondentes brasileiros cobrindo China, Taiwan ou conflitos geopolíticos asiáticos são perfil de interesse para grupos com missão similar ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | Office.exe gerando processo filho inesperado ao abrir documento | T1203 | Protected View obrigatório; alertar em processo filho de Office | | Documento RTF/DOCX com arquivo EPS embutido | T1566.001 | Sandbox de e-mail com análise de objetos embutidos | | ELMER - callback HTTP periódico de processo do sistema | T1566.001 | EDR behavioral - alertar em HTTP beaconing por processo não esperado | | Servidor comprometido como C2 - domínio legítimo com conteúdo malicioso | T1584.004 | Proxy inspection de conteúdo HTTP, não apenas reputação de domínio | **Mitigações prioritárias:** Patch de Office ([[m1051-update-software|M1051]]), desabilitar EPS no Office ([[m1042-disable-or-remove-feature-or-program|M1042]]) e sandbox de documentos externos ([[m1049-antivirus-antimalware|M1049]]). ## Referências - [1](https://attack.mitre.org/groups/G0023/) MITRE ATT&CK - APT16 (G0023) - [2](https://cloud.google.com/blog/topics/threat-intelligence/apt-groups) Google Cloud/Mandiant - APT Groups Reference - [3](https://malpedia.caad.fkie.fraunhofer.de/actor/apt16) Malpedia - APT16 Actor Profile - [4](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=APT16) ETDA Threat Group Cards - APT16 **Malware:** [[s0064-elmer|ELMER]] **CVEs:** [[cve-2015-2545|CVE-2015-2545]] **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1203-exploitation-for-client-execution|T1203]] · [[t1584-004-server|T1584.004]] **Setores:** [[government|Governo]] · [[media|Mídia]] · [[technology|Tecnologia]] **Relacionados:** [[g0025-apt17|APT17]] · [[g0013-apt30|APT30]] · [[g0096-apt41|APT41]] · [[g0129-mustang-panda|Mustang Panda]]