# Raspberry Typhoon > [!danger] PLA China - Espioe Decenário do Mar do Sul da China > Raspberry Typhoon e o grupo chines mais persistente no Mar do Sul da China: ativo desde 2005 com as mesmas ferramentas, o mesmo foco geopolitico e a mesma missao - coletar inteligência sobre ASEAN, disputas territoriais e movimentacoes militares para o Exercito de Liberacao Popular. Em 2023, hackeou telecomúnicacoes de paises ASEAN para acessar registros de chamadas - espionagem de comúnicacoes em escala estatal. ## Visão Geral Raspberry Typhoon (RADIUM / APT30 / Lotus Blossom) e um grupo de ameaça chines associado ao governo da China, ativo desde pelo menos 2005 - tornando-o um dos grupos APT mais antigos com operações documentadas continuas. Rastreado pela Microsoft como **"o grupo chines mais ativo no Mar do Sul da China"**, o grupo e especializado em **espionagem politica, economica e militar** contra governos e infraestrutura critica de paises ASEAN. **Estabilidade operacional notavel:** Ao contrario de grupos que renovam constantemente seu arsenal, Raspberry Typhoon/APT30 manteve ferramentas consistentes por mais de uma decada (BACKSPACE, NETEAGLE), atualizando-as incrementalmente. O BACKSPACE backdoor possui versioning interno e auto-update automatico - uma abordagem de software engineering aplicada a malware que e rara mesmo entre APTs sofisticados. **Foco geopolitico preciso:** O grupo alinha seus ciclos de ataque com eventos da ASEAN. Malwares foram compilados específicamente para campanhas em torno de cimeiras diplomaticas, o que indica inteligência de missao detalhada. As lures de phishing incluem temas recorrentes: relacoes India-China, territorios contestados, exercicios militares e legitimidade do Partido Comunista Chines. **2023 - Escalada no Mar do Sul:** Microsoft reportou que Raspberry Typhoon comprometeu servidores de faturamento de telecomúnicacoes para acessar **registros de chamadas** (CDR - Call Detail Records) - uma modalidade de espionagem que revela redes de contato de funcionarios governamentais e militares sem comprometer os dispositivos finais. **Capacidade air-gap:** Uma das caracteristicas mais notaveis e a funcionalidade construida desde 2005 para infectar **redes air-gapped** via drives USB (SHIPSHAPE, SPACESHIP, FLASHFLOOD) - demonstrando que alvos de alta segurança sem internet foram contemplados desde o inicio das operações. ## Campanhas Notaveis | Período | Campanha | Alvo | Método | |---------|----------|------|--------| | 2005-2015 | APT30 ASEAN Espionagem | 10 paises ASEAN + India | BACKSPACE + NETEAGLE - 10 anos | | 2013 | Cimeiras ASEAN | Governos membros ASEAN | Malware compilado por evento diplomatico | | 2018 | Dragonfish Operations | Certificadoras digitais Asia | Comprometimento de cadeia PKI | | 2021-2022 | Bilbug/Thrip variant | Telecomúnicacoes Asia-Pacifico | Sagerunex + Impacket | | 2023 | South China Sea Campaign | Filipinas, Indonesia, Malaysia | CDR theft + key network components | | 2023 Jun | Indonesia/Malaysia Naval | Defesa + maritimo pre-exercicio | Malware + inteligência de movimento naval | ## Arsenal - Cadeia de Ataque ```mermaid graph TB A["Spear-phishing<br/>Documento com lure ASEAN<br/>T1566.001 - Attachment malicioso"] --> B["Execução<br/>T1204.002 - Abertura de arquivo<br/>Dropper inicial instalado"] B --> C["BACKSPACE / NETEAGLE<br/>Backdoor Stage 1<br/>Beacon HTTP automatico"] C --> D["Priorizacao de Vitima<br/>Normal / Important / Very Important<br/>Seletividade operacional"] D --> E["Stage 2 C2<br/>Conexão interativa<br/>Apenas alvos priorizados"] E --> F["Exfiltração<br/>RAR comprimido + renomeado<br/>CDR e documentos sensiveis"] E --> G["Air-gap Pivot<br/>SHIPSHAPE / FLASHFLOOD<br/>Infecção por USB"] classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef exec fill:#e67e22,color:#fff,stroke:#d35400 classDef backdoor fill:#8e44ad,color:#fff,stroke:#6c3483 classDef prio fill:#2980b9,color:#fff,stroke:#1a5276 classDef c2 fill:#196f3d,color:#fff,stroke:#145a32 classDef exfil fill:#34495e,color:#fff,stroke:#2c3e50 classDef airgap fill:#7f8c8d,color:#fff,stroke:#6c7a7d class A phish class B exec class C backdoor class D prio class E c2 class F exfil class G airgap ``` ## Timeline de Atividade ```mermaid timeline title Raspberry Typhoon / APT30 - Linha do Tempo 2005 : Primeiros samples identificados : BACKSPACE v1 compilado 2009 : Lotus Blossom nomeado : Alvos governamentais Asia 2013 : Pico ASEAN - malware por evento : India-China lures diplomaticos 2015 : FireEye publica APT30 report : Decada de operacoes revelada 2018 : Accenture documenta DRAGONFISH : Certificadoras digitais alvo 2021 : Bilbug / Thrip variant : Sagerunex em telecoms APAC 2023 : Microsoft nomeia Raspberry Typhoon : CDR theft em telecoms ASEAN 2024 : Atividade continuada : Exercicios navais como trigger ``` ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1025-data-from-removable-media|T1025 - Data from Removable Media]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] ## Software Utilizado - [[s0031-backspace|BACKSPACE]] - Backdoor customizado com versioning, auto-update e sistema de priorizacao de vitimas em dois estagios de C2; persistência via registry run keys - [[s0034-neteagle|NETEAGLE]] - Backdoor complementar ao BACKSPACE; dois variantes (Scout e Norton); comunicação HTTP com multi-stage C2; criptografia simetrica - [[s0028-shipshape|SHIPSHAPE]] - Malware para infecção de drives removiveis e propagação para sistemas air-gapped - [[s0035-spaceship|SPACESHIP]] - Estagio de coleta de dados de drives USB; compactacao customizada e staging local - [[s0036-flashflood|FLASHFLOOD]] - Exfiltração de dados coletados de sistemas air-gapped via USB - [[s1210-sagerunex|Sagerunex]] - Backdoor variante recente (Bilbug/Thrip); configurado como Windows Service - [[s0357-impacket|Impacket]] - Framework Python para movimentação lateral e credential harvesting ## Contexto Geopolitico - Mar do Sul da China Raspberry Typhoon e diretamente alinhado com os interesses estratégicos chineses no Mar do Sul da China: - **Disputas territoriais:** Filipinas, Vietnam, Brunei, Malaysia e Taiwan reivindicam territorios que a China também reivindica - todos alvejados pelo grupo - **Exercicios militares como gatilho:** Em junho de 2023, o grupo atacou entidades militares e executivas na Indonesia e sistema maritimo da Malaysia nas semanas **anteriores a um exercicio naval conjunto** envolvendo Indonesia, China e EUA - **CDR surveillance:** Acesso a registros de chamadas de telecomúnicadoras permite mapear a rede de contatos de funcionarios-alvo sem acesso direto aos dispositivos - técnica de SIGINT adaptada para operações cibers ## Relevância para o Brasil e LATAM Embora o foco primario do Raspberry Typhoon sejá o Mar do Sul da China e ASEAN, sua relevância para o Brasil e LATAM emerge de tres angulos: **1. Modelo replicavel:** A capacidade demonstrada de comprometer infraestrutura de telecomúnicacoes e governos nao e exclusiva a ASEAN. Grupos chineses com missoes similares - como [[nylon-typhoon|Nylon Typhoon]] - já documentadamente comprometeram **governos sul-americanos incluindo o Brasil** (Microsoft, dez/2023). A técnica de CDR theft e diretamente aplicavel a operadoras brasileiras. **2. Presenca diplomatica:** O Brasil tem relacoes diplomaticas e comerciais intensas com a China - Belt and Road, compras de equipamentos de telecomúnicacoes (Huawei), parceiros comerciais agricolas. Missoes diplomaticas e agencias de comercio exterior brasileiras no Asia-Pacifico sao alvos potenciais compativeis com o perfil do grupo. **3. Setor maritimo e portuario:** O Brasil e uma potencia maritima com um dos maiores volumes de exportacao via porto do mundo (Santos, Paranagua, Itaqui). A espionagem maritima do grupo - evidênciada no targeting de sistemas navais ASEAN - e compativel com interesses em rotas comerciais Brasil-China. > **Aviso para diplomaticos e comerciais:** Representacoes brasileiras na Asia-Pacifico devem tratar dispositivos e drives USB com cautela extrema. O vetor de air-gap via USB e uma ameaça direta a ambientes diplomaticos com redes isoladas. ## Detecção e Defesa **Indicadores comportamentais:** - Documentos Office recebidos por email com temas de politica ASEAN, exercicios militares ou disputas territoriais Asia-Pacifico (relevante para diplomaticos brasileiros na regiao) - Beacons HTTP regulares para infraestrutura de C2 com URIs padronizados para verificação de versao - Modificacoes de registro em HKCU\Software\Microsoft\Windows\CurrentVersion\Run - Acesso a drives USB seguido de criação de arquivos RAR com nomes alterados de extensao **Mitigacoes prioritarias:** - [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] - Detecção de variantes BACKSPACE/NETEAGLE em endpoints - [[m1017-user-training|M1017 - User Training]] - Reconhecimento de phishing com temas geopoliticos ASEAN - [[m1042-disable-or-remove-feature-or-program|M1042 - Disable or Remove Feature]] - Restricao de autorun em drives USB para prevenir SHIPSHAPE ## Referências - [1](https://attack.mitre.org/groups/G0030/) MITRE ATT&CK - G0030 Lotus Blossom / APT30 (2024) - [2](https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2015/05/20081935/rpt-apt30.pdf) FireEye Labs - APT30 and the Mechanics of a Long-Running Cyber Espionage Operation (2015) - [3](https://www.bankinfosecurity.asia/microsoft-china-group-hacking-asian-telecom-phone-records-a-23121) BankInfoSecurity - Microsoft: China Group Hacking Asian Telecom Phone Records (2023) - [4](https://newsletter.radensa.ru/wp-content/uploads/2023/09/Digital-threats-from-East-Asia-increase-in-breadth-and-effectiveness.pdf) Microsoft Threat Intelligence - Digital Threats from East Asia September 2023 (2023) - [5](https://ntsc.org/blog/microsoft-same-targets-new-playbooks-east-asia-threat-actors-employ-unique-methods/) NTSC - Microsoft: Same Targets, New Playbooks - East Asia Threat Actors (2024) - [6](https://malpedia.caad.fkie.fraunhofer.de/actor/raspberry_typhoon) Malpedia - Raspberry Typhoon Actor Profile (2023)