# Scarlet Mimic
> **Scarlet Mimic** é um grupo de ameaças ativo desde pelo menos 2009, especializado em **espionagem contra ativistas de minorias étnicas** - principalmente Uigures e Tibetanos. Suas motivações se alinham com interesses do governo chinês, embora nenhuma ligação direta tenha sido formalmente estabelecida. O grupo é notável pelo uso pioneiro de **malware para iOS e Android** contra alvos de direitos humanos.
---
## Visão Geral
| Campo | Valor |
|-------|-------|
| **Origem** | China (provável ligação governamental) |
| **Primeiro Registro** | 2009 |
| **Última Atividade Confirmada** | 2022–2023 (MobileOrder) |
| **Motivação** | Espionagem política - vigilância de ativistas de minorias |
| **Alvos Primários** | Comunidades Uigur e Tibetana, diáspora, ONGs de suporte |
| **Disclosure** | Trend Micro (2013), Palo Alto Unit 42 (2015) |
## Attack Flow - Vigilância de Minorias
```mermaid
graph TB
A["🔍 Reconhecimento<br/>Mapeamento de ativistas"] --> B["🎯 Acesso Inicial<br/>Spear-phishing Office"]
B --> C["💻 Execução<br/>CVE-2012-0158 Dropper"]
C --> D["🔒 Persistência<br/>FakeM/MobileOrder Backdoor"]
D --> E["🕵️ Coleta<br/>Vigilância contínua"]
E --> F["📤 Exfiltração<br/>C2 criptografado"]
classDef recon fill:#1a5276,color:#fff,stroke:#154360
classDef access fill:#c0392b,color:#fff,stroke:#922b21
classDef exec fill:#e67e22,color:#fff,stroke:#d35400
classDef persist fill:#8e44ad,color:#fff,stroke:#6c3483
classDef collect fill:#27ae60,color:#fff,stroke:#1e8449
classDef exfil fill:#c0392b,color:#fff,stroke:#7b241c
class A recon
class B access
class C exec
class D persist
class E collect
class F exfil
```
---
## Atribuição
A atribuição ao estado chinês é baseada em **victimologia consistente**:
- Alvo exclusivo: comunidades percebidas como ameaça à coesão territorial da China
- Prioridades de coleta alinhadas com objetivos estratégicos do governo chinês
- Sobreposição de infraestrutura com [[g0024-putter-panda]] (APT2) - grupos não confirmados como idênticos mas com IPs compartilhados
- Ausência de motivação financeira; operações puramente de vigilância política
> Primeira documentação pública: **Trend Micro (2013)** identificou FakeM; **Palo Alto Networks Unit 42 (2015)** públicou análise abrangente com o nome "Scarlet Mimic".
---
## Alvos
**Foco primário:**
- Ativistas Uigures (Xinjiang) e suas redes de suporte internacional
- Ativistas Tibetanos e organizações da diáspora tibetana
- ONGs de direitos humanos ligadas a minorias chinesas
- Acadêmicos e jornalistas cobrindo estas comunidades
- Simpatizantes do ISIL monitorados pelo estado chinês
**Distribuição geográfica de vítimas:**
- Comunidades Uigur/Tibetana nos EUA, Europa, Ásia Central, Rússia, Paquistão e Índia
- Organizações internacionais de direitos humanos
---
## Arsenal de Malware
### FakeM (S0076) - Windows
O malware principal do grupo para plataforma Windows:
- **Camuflagem**: Imita tráfego do Windows Messenger e Yahoo Messenger para evadir detecção de rede
- **Cifragem**: Diffie-Hellman + RC4; evolução constante para evadir assinaturas AV (zero detecções no VT em campanhas de 2015)
- **Capacidades**: Keylogging, screenshots, exfiltração de arquivos, execução remota de comandos
- **Distribuição**: Via spear-phishing com anexos Office explorando CVEs do período 2009–2012
### Psylo (S0078) - Android
Malware para dispositivos Android:
- Usa protocolos web padrão para C2, dificultando detecção por tráfego anômalo
- Capacidades: descoberta de arquivos/diretórios, timestomping, exfiltração de dados
- Disfarçado como aplicativo legítimo de interesse para a comunidade alvo
### MobileOrder (S0079) - Android/iOS
Malware multi-plataforma - um dos primeiros exemplos documentados de spyware mobile sofisticado para monitoramento de ativistas:
- **Distribuição ativa até 2022–2023** - grupo demonstra manutenção contínua de capacidades mobile
- Coleta: informações do sistema, lista de processos, descoberta de arquivos, localização
- Exfiltração silenciosa via canais cifrados
### CallMe (S0077) - iOS
Spyware para dispositivos Apple iOS - **raridade em 2015**:
- Execução de comandos Unix shell em dispositivos iOS comprometidos
- Cifragem simétrica de comúnicações
- Capacidades: transferência de ferramentas, exfiltração de dados, execução remota
- Alvo: dispositivos iOS de ativistas Uigures e Tibetanos
---
## Técnicas e TTPs
### Right-to-Left Override (T1036.002)
Técnica icônica do grupo: uso do caractere Únicode **U+202E** em nomes de arquivos maliciosos para inverter a leitura do nome, fazendo arquivos executáveis parecerem documentos inofensivos:
```
Relatóriofdp.exe → aparece como: Relatóriop.exe ← mas executa .exe
```
Utilizado em arquivos RAR de spear-phishing para enganar vítimas sobre o tipo de arquivo.
### Cadeia de Infecção Completa
```
Reconhecimento → Spear-phishing (email/watering hole) → Anexo com RLO →
Loader (MNKit/WingD) → Injeção de backdoor → Beacon C2 → Exfiltração
```
### Exploits de Office Utilizados
| CVE | Produto | Uso |
|-----|---------|-----|
| CVE-2009-3129 | Excel | Spear-phishing inicial |
| CVE-2010-2744 | Windows Kernel | Privilege escalation |
| CVE-2011-0033 | Windows OpenType Font | Execução de código |
| CVE-2012-0158 | MSCOMCTL ActiveX | Dropper principal |
### Evasão e Persistência
- **Process hollowing**: injeção em processos legítimos do Windows
- **Dynamic DNS**: infraestrutura C2 com domínios que rotacionam IPs frequentemente
- **Mutex artifacts**: identificadores únicos por campanha para evitar re-infecção
- **Protocolo mimicry**: FakeM imita tráfego de mensageiros para evadir inspeção de rede
---
## Detecção e Indicadores
### Indicadores de Rede
- Tráfego HTTP com padrão de mensageiro (MSN/Yahoo) originado de endpoints inesperados
- Negociação Diffie-Hellman seguida de RC4 em sessões HTTP suspeitas
- Comúnicação com domínios DNS dinâmico (no-ip, dyndns) em horários fora do padrão
- Exfiltração para IPs novos/desconhecidos em intervalos regulares
### Indicadores de Host
- Arquivos com caractere U+202E (Right-to-Left Override) no nome
- Processos filhos inesperados de aplicativos Office
- Aplicativos Android solicitando permissões excessivas (contatos, localização, microfone, SMS)
- Mutexes com padrões específicos do FakeM em processos Windows
---
## Conexões no Grafo CTI
- **[[g0024-putter-panda]]**: Sobreposição de infraestrutura de IP - possível coordenação ou compartilhamento de recursos
- **Comunidade Uigur**: Principal comunidade alvo - contexto geopolítico Xinjiang
- **Técnicas MITRE**: [[t1036-002-right-to-left-override|T1036.002]] é assinatura característica do grupo
- **Mobile targeting**: Precursor e referência para análise de spyware mobile moderno
---
## Avaliação de Ameaça
> **Alto risco** para ONGs de direitos humanos, jornalistas e ativistas ligados a minorias étnicas chinesas. O grupo demonstra **capacidade contínua de adaptação** (evolução do FakeM pós-disclosure, MobileOrder ativo até 2023) e **zero motivação financeira** - indicativo de funding estatal sustentado.
## Relevância para o Brasil e LATAM
O Scarlet Mimic representa ameaça potencial para ONGs de direitos humanos e jornalistas brasileiros que cobrem questões de direitos humanos, genocídio e vigilância estatal. Embora geograficamente distante, o grupo visa ativistas em diáspora e organizações internacionais de direitos humanos - categorias que incluem brasileiros mobilizados em questões humanitárias. A sofisticação do arsenal mobile (MobileOrder, CallMe, Psylo) e a persistência de financiamento sugerem capacidade de expandir alvos regionais.
> [!info] Risco Secundário para Brasil
> Ativistas brasileiros de direitos humanos, jornalistas investigativos e ONGs com foco em vigilância estatal devem monitorar indicadores de compromisso FakeM (C2 mimicando MSN/Yahoo, mutexes específicos). O potencial de expansão do grupo para alvos LATAM permanece moderado mas crescente.
---
## Referências
- [Palo Alto Unit 42 - Scarlet Mimic: Years-Long Espionage Targets Minority Activists (2015)](https://unit42.paloaltonetworks.com/scarlet-mimic-years-long-espionage-targets-minority-activists/)
- [MITRE ATT&CK - G0029](https://attack.mitre.org/groups/G0029/)
- [Malpedia - Scarlet Mimic](https://malpedia.caad.fkie.fraunhofer.de/actor/scarlet_mimic)
- Relacionado: [[g0024-putter-panda]], [[g0096-apt41]], [[t1036-002-right-to-left-override|T1036.002]]