# Threat Group-3390 (APT27) ## Visão Geral **APT27** (MITRE G0027), rastreado sob dezenas de aliases incluindo **Emissary Panda**, **LuckyMouse**, **Iron Tiger** e **Budworm**, e um dos grupos de espionagem cibernetica **mais longevos e adaptaveis** do arsenal chines. Ativo desde pelo menos **2010**, o grupo acumula **15+ anos de operações continuas** sem reducao significativa de cadencia. O grupo e distinto por sua técnica de **watering hole estratégico**: comprometimento de sites frequentados por funcionarios de setores-alvo para entrega silenciosa de malware a visitantes qualificados. Este método cirurgico e mais dificil de atribuir do que spear-phishing direto. Em **2025**, Unit 42 confirmou que dispositivos em **45 paises** conectaram-se a infraestrutura C2 do SysUpdaté do grupo - confirmando alcance verdadeiramente global. Campanhas de **junho-julho 2025** contra entidade mongoila demonstram operações ativas com arsenal atualizado incluindo **Pandora rootkit** e **NDISProxy**. > [!danger] Duplo Mandato - Espionagem e Ransomware > APT27 e incomum por combinar espionagem estatal com **ataques de ransomware** (BitLocker em empresas de jogo, 2020). Indica monetização oportunista ou cobertura para operações de inteligência. ## Arsenal Tecnico Principal | Ferramenta | Tipo | Caracteristica | |-----------|------|---------------| | [[s0398-hyperbro\|HyperBro]] | RAT customizado | Assinatura única do APT27; DLL sideloading | | [[sysupdate\|SysUpdaté]] | Backdoor modular | Linux + Windows; C2 via DNS TXT; 2024 atualizado | | [[s0013-plugx\|PlugX]] | RAT compartilhado | Usado por múltiplos grupos chineses | | Pandora | Rootkit + RAT | Fileless; atualizado em 2025 com driver exploit | | NDISProxy | Backdoor passivo | Assina driver com certificado de empresa china | ## Attack Flow - Watering Hole e Espionagem ```mermaid graph TB A["Reconhecimento<br/>Identificar sites usados<br/>pelo setor-alvo"] --> B["Comprometimento<br/>do site estratégico<br/>T1189 Drive-by Compromise"] B --> C["Entrega HyperBro<br/>Visitante qualificado recebe<br/>malware via exploit chain"] C --> D["Persistência<br/>DLL sideloading<br/>Symantec / McAfee signed binaries"] D --> E["Coleta de Credenciais<br/>LSASS dump<br/>LSA Secrets / Impacket"] E --> F["Exfiltração<br/>T1567.002 Cloud Storage<br/>Google Drive / Dropbox C2"] style A fill:#1a3a5c,color:#fff style B fill:#c0392b,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2c5282,color:#fff style E fill:#d68910,color:#fff style F fill:#196f3d,color:#fff ``` ## Campanhas Notaveis | Período | Campanha | Detalhe | |---------|---------|---------| | 2010-2016 | Campanhas iniciais EUA/Asia | Aeroespacial, defesa, governo | | 2017+ | Watering holes estratégicos | Asia Central, Oriente Medio - HyperBro | | 2020 | DRBControl / Ransomware | Empresas de jogos; BitLocker; PlugX + Clambling | | 2021 | ProxyLogon (Exchange) | CVE-2021-26855 a 27065; empresas alemas | | 2021 | ManageEngine ADSelf | CVE-2021-40539 - Zoho; certificado VMProtect | | 2022 | MiMi Chat Supply Chain | Instaladores trojaneados; Taiwan e Filipinas | | 2022 | SysUpdaté Linux variant | Nova versao cross-platform; DNS TXT C2 | | 2023 | Budworm telecom e governo | Oriente Medio e Asia; SysUpdaté atualizado | | 2025 | Mongolia entity | Pandora rootkit fileless; NDISProxy; 45 paises | ## Sobreposicao com Outras Operacoes ```mermaid graph TB APT27["APT27 / Iron Tiger"] Winnti["Winnti Group<br/>(APT41)"] GALLIUM["GALLIUM"] Share["Arsenal Compartilhado<br/>PlugX, ShadowPad, Cobalt Strike"] APT27 --> Share Winnti --> Share GALLIUM --> Share APT27 -- "DRBControl overlap" --> Winnti GALLIUM -- "Operation DeadRinger" --> APT27 ``` ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1003-004-lsa-secrets|T1003.004 - LSA Secrets]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1030-data-transfer-size-limits|T1030 - Data Transfer Size Limits]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1053-002-at|T1053.002 - At]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1555-005-password-managers|T1555.005 - Password Managers]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] ## Software Utilizado - [[s0398-hyperbro|HyperBro]] - [[sysupdate|SysUpdaté]] - [[s0013-plugx|PlugX]] - [[s0154-cobalt-strike|Cobalt Strike]] - [[mimikatz|Mimikatz]] - [[s0357-impacket|Impacket]] - [[gh0st-rat|gh0st RAT]] - [[s0160-certutil|certutil]] - [[s0073-aspxspy|ASPXSpy]] ## Relevância para o Brasil e LATAM > [!warning] Risco Muito Alto para Setores Estratégicos > APT27 representa ameaça **muito alta** para o Brasil. Setores alvo - defesa, energia, aeroespacial, tecnologia - correspondem exatamente ao perfil de espionagem do grupo. **Pontos criticos para o Brasil:** - O método de **watering hole** e efetivo contra profissionais brasileiros em setores criticos que visitam sites de referência do setor - Exploração de **CVEs de Exchange e ManageEngine** (softwares amplamente usados no Brasil) como vetor inicial - Uso de **cloud storage como C2** (Google Drive, Dropbox) torna detecção por firewall práticamente impossível sem proxy SSL inspection - O **duplo mandato** (espionagem + ransomware) cria ambiguidade - uma vez dentro da rede, o grupo pode monetizar o acesso - Empresas brasileiras com joint ventures ou subsidiarias em paises já comprometidos (Turquia, India, Oriente Medio) representam ponto de entrada via lateral movement cross-border ## Referências - [MITRE ATT&CK - Threat Group-3390 (G0027)](https://attack.mitre.org/groups/G0027/) - [Trend Micro - Iron Tiger SysUpdaté (2023)](https://www.trendmicro.com/) - [Unit 42 - Iron Taurus (APT27) Still Active 2025](https://unit42.paloaltonetworks.com/) - [Symantec - Budworm SysUpdaté novo (2023)](https://www.broadcom.com/support/security-center/protection-bulletin/symantec-enterprise-blogs) - [IIJ - APT27 Arsenal 2025 Virus Bulletin](https://www.virusbulletin.com/uploads/pdf/conference/vb2025/)