g0039-suckfly - RunkIntel

# Suckfly > [!medium] APT Chinesa com Técnica Única de Roubo de Certificados de Assinatura de Código > O **Suckfly** é um grupo de espionagem cibernética atribuído à China, notório pelo roubo sistemático de **certificados de code signing** de empresas sul-coreanas e indianas para assinar seu backdoor como software legítimo. Ativo entre 2014 e 2016, o grupo atacou provedores de TI do governo indiano e empresas sauditas, demonstrando uma abordagem de comprometimento de terceiros para obter material criptográfico legítimo que antecipou a onda de ataques de cadeia de suprimentos dos anos seguintes. ## Visão Geral O Suckfly foi documentado pela Symantec em 2016 como um grupo APT ativo desde pelo menos 2014, com forte suspeita de origem em Chengdu, China - a mesma cidade associada a outros grupos APT chineses como APT41. O grupo manteve foco restrito em espionagem contra governos e empresas de TI estratégicas na Índia e Arábia Saudita, com campanhas bem coordenadas que demonstram planejamento operacional cuidadoso. A técnica que define o Suckfly é o **roubo sistematizado de certificados de assinatura de código**. A Symantec identificou pelo menos 9 certificados roubados de empresas sul-coreanas de tecnologia, usados para assinar binários do backdoor [[s0118-nidiran|Nidiran]]. Ao apresentar software assinado com certificados legítimos de empresas reais, o grupo contornava controles de whitelist de aplicativos, reduzia alertas de produtos antivírus e mantinha presença mais prolongada antes de detecção. Esta abordagem - comprometer terceiros exclusivamente para obter material criptográfico - foi pioneira e foi posteriormente replicada por grupos como [[g0096-apt41|APT41]] e outros. Os alvos primários na Índia incluíam provedores de TI que prestavam serviços ao governo indiano - uma estratégia de comprometimento de cadeia de suprimentos que permitia acesso indireto a redes governamentais através de contratantes legítimos. As campanhas operavam predominantemente em dias úteis durante horário comercial da Ásia, consistente com o padrão operacional de grupos APT patrocinados pelo Estado chinês. **Características operacionais distintas:** - Roubo de certificados de code signing de 9 empresas sul-coreanas como objetivo em si - Foco específico em provedores de TI do governo indiano como vetor de acesso indireto - Uso de CVE-2014-6332 (vulnerabilidade OLE Windows) para entrega via watering hole - Operação exclusivamente em dias úteis - assinatura de patrocínio estatal - Arsenal mínimo e eficiente: Nidiran + ferramentas nativas do Windows ## Attack Flow - Campanha Índia ```mermaid graph TB A["Preparação Roubo certificados KR T1553.002 - 9 certs roubados"] --> B["Reconhecimento Identificação provedor TI govindo target selecionado"] B --> C["Entrega Watering hole CVE-2014-6332 ou spear-phishing T1566.001"] C --> D["Implante Nidiran Assinado com cert legítimo Evasão baseada em confiança"] D --> E["Reconhecimento Interno T1046 - varredura serviços T1082 - info do sistema"] E --> F["Coleta de Credenciais T1003 - dump OS T1078 - contas válidas"] F --> G["Exfiltração Dados governamentais via canal HTTP/HTTPS cifrado"] style A fill:#1a5276,color:#fff style B fill:#2980b9,color:#fff style C fill:#922b21,color:#fff style D fill:#c0392b,color:#fff style E fill:#e67e22,color:#fff style F fill:#8e44ad,color:#fff style G fill:#117a65,color:#fff ``` ## Linha do Tempo ```mermaid timeline title Suckfly - Evolução Documentada 2014 : Primeiras intrusões India documentadas : Roubo de certificados KR inicia 2015 : Expansão Arabia Saudita : Governo + setor financeiro saudita : 9 certificados sul-coreanos identificados 2016 : Symantec publica análise completa : Certificados revogados após exposição : Grupo encerra atividade pública ``` ## Técnica Distintiva: Cadeia de Suprimentos de Certificados O Suckfly comprometeu empresas sul-coreanas de tecnologia **específicamente** para roubar seus certificados de assinatura de código, sem nenhum outro objetivo aparente nessas intrusões. A Symantec identificou 9 certificados distintos roubados de empresas diferentes. Os certificados foram usados para: 1. Assinar executáveis do [[s0118-nidiran|Nidiran]] como software "legítimo" 2. Contornar políticas de execução que permitem apenas software assinado 3. Reduzir alertas de produtos antivírus que tratam software certificado com menor suspeita 4. Estender a janela de presença antes de detecção por reputação de certificado Esta abordagem - comprometer terceiros para obter material criptográfico legítimo - antecipou a tendência de supply chain attacks que se tornaria dominante nos anos seguintes com casos como [[solarwinds-sunburst-2020|SolarWinds]] e [[kaseya-vsa-2021|Kaseya VSA]]. ## Arsenal | Ferramenta | Categoria | Características | |-----------|-----------|----------------| | [[s0118-nidiran\|Nidiran]] | Backdoor customizado | HTTP/HTTPS C2; shell remoto; upload/download; exfiltração de arquivos | | Certificados roubados (9) | Code signing | De empresas KR; assina Nidiran como software legítimo | | Ferramentas nativas | Living-off-the-land | cmd.exe, net.exe para reconhecimento e movimentação lateral | | CVE-2014-6332 | Exploit | OLE Windows - entrega via watering hole | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos enviados a funcionários de provedores de TI governamentais | | Initial Access | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Watering hole explorando CVE-2014-6332 contra alvos específicos | | Defense Evasion | Code Signing | [[t1553-002-code-signing\|T1553.002]] | Nidiran assinado com certificados roubados de 9 empresas sul-coreanas | | Defense Evasion | Masquerading | [[t1036-masquerading\|T1036]] | Binários disfarçados como software legítimo via certificados válidos | | Credential Access | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Dump de credenciais via ferramentas nativas do Windows | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas para manutenção de acesso | | Discovery | Network Service Discovery | [[t1046-network-service-discovery\|T1046]] | Varredura de serviços internos para mapeamento da rede | | C2 | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTP/HTTPS - mistura tráfego legítimo | ## Relevância para o Brasil e LATAM > [!low] Grupo Inativo - Técnica de Code Signing com Alta Replicabilidade > O Suckfly não possui histórico de operações contra Brasil ou LATAM e encerrou atividade pública após 2016. O valor desta nota é primariamente **técnico e referêncial**: a técnica de roubo de certificados de code signing é amplamente replicada por outros grupos ativos e a defesa contra ela é aplicável universalmente. Para organizações brasileiras, a principal lição do Suckfly é: 1. **Certificados roubados podem ser usados contra você**: empresas brasileiras que emitem certificados de code signing devem proteger a chave privada com HSM e monitorar uso anômalo do certificado em logs da CA 2. **Não confie apenas em assinatura de código**: software assinado pode ser malicioso se o certificado foi comprometido - adicione verificação de reputação via inteligência de ameaças e análise comportamental 3. **Provedores de TI são vetor de acesso**: o modelo Suckfly de comprometer fornecedores para alcançar clientes governamentais é diretamente aplicável ao Brasil - empresas de TI que prestam serviços ao governo federal, estados e prefeituras são alvos de alto valor para grupos de espionagem 4. **Índia como proxy geográfico**: grupos que focam na Índia frequentemente expandem para mercados emergentes com perfil similar; organizações brasileiras em setores governo e tecnologia devem monitorar IOCs de grupos India-focused ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | Certificado de code signing revogado em binário ativo | T1553.002 | Verificar revogação de certificado (OCSP/CRL) em tempo real antes de execução | | Nidiran - HTTP POST com estrutura URI característica | T1071.001 | Proxy SSL inspection - detectar padrão de URI e User-Agent do Nidiran | | Processo Office gerando cmd.exe ou wscript.exe | T1566.001 | EDR comportamental - Office não deve executar interpreters de comando | | Credential dump via ferramentas nativas (net.exe, reg.exe) | T1003 | EDR comportamental - cmd.exe acessando SAM/LSASS | | Varredura de portas de host comprometido | T1046 | Detecção de scanning interno - SIEM alerta lateral movement | | Download via BITS ou HTTP para diretório temp | T1189 | Monitorar downloads de BITS e execução de arquivos em %TEMP% | **Mitigações prioritárias:** Proteção de certificados com HSM ([[m1047-audit|M1047]]), restrição de code signing interno ([[m1038-execution-prevention|M1038]]) e Credential Guard ([[m1043-credential-access-protection|M1043]]). ## Referências - [1](https://attack.mitre.org/groups/G0039/) MITRE ATT&CK - Suckfly (G0039) - [2](https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=03a03bdc-1f4e-4b23-9f3e-8f738cc1b04f) Symantec - Suckfly: Revealing the Secret Life of Your Code Signing Certificates (2016) - [3](https://symantec-enterprise-blogs.security.com/threat-intelligence/suckfly-india) Symantec - Suckfly Campaigns Against India (2016) - [4](https://malpedia.caad.fkie.fraunhofer.de/actor/suckfly) Malpedia - Suckfly Actor Profile **Malware:** [[s0118-nidiran|Nidiran]] **TTPs:** [[t1553-002-code-signing|T1553.002]] · [[t1189-drive-by-compromise|T1189]] · [[t1003-os-credential-dumping|T1003]] · [[t1046-network-service-discovery|T1046]] · [[t1071-001-web-protocols|T1071.001]] **Setores:** [[government|Governo]] · [[technology|Tecnologia]] · [[financial|Financeiro]] **Relacionados:** [[g0096-apt41|APT41]] · [[g0017-dragonok|DragonOK]] · [[g0002-moafee|Moafee]]