g0040-patchwork - RunkIntel

# Patchwork ## Visão Geral O **Patchwork** (também rastreado como **Dropping Elephant**, **APT-C-09**, **Quilted Tiger** e **Moonlight Tiger**) e um grupo de ciberespionagem com forte evidência de origem indiana, ativo desde pelo menos **2009**. O grupo concentra operações contra alvos diplomaticos, governamentais e de defesa na Asia do Sul e Leste Asiatico, com foco específico em **Paquistao** e **China**. Caracterizado inicialmente pelo uso extensivo de código copiado de foruns públicos (da o nome "Patchwork"), o grupo evoluiu significativamente: campanhas recentes (2024-2025) demonstram uso de **Brute Ratel C4**, **Python backdoors via MSBuild LOLBIN**, e mobile RAT **VajraSpy** - indicando maturidade técnica crescente alinhada com interesses estratégicos indianos. Em marco de 2025, o grupo continuou campanhas contra instalacoes de defesa paquistanesas e missoes diplomaticas. ```mermaid graph TB A["Spear-phishing Documento Office/ CVE-2017-0199"] --> B["Execução LOLBIN MSBuild.exe carrega Python runtime embarcado"] B --> C["Persistência Scheduled tasks KeyboardDrivers/MsEdge"] C --> D["Python Backdoor python2_pycache_.dll bytecode marshalado"] D --> E["C2 Commúnication nexnxky.info upxvion.info"] E --> F["Exfiltração Documentos diplomaticos e militares sensiveis"] style A fill:#2980b9,color:#fff style B fill:#8e44ad,color:#fff style C fill:#f39c12,color:#fff style D fill:#e74c3c,color:#fff style E fill:#c0392b,color:#fff style F fill:#196f3d,color:#fff ``` ## Atribuicao A atribuicao a India e sustentada por: - Foco em alvos de interesse estratégico indiano (Paquistao, China, questoes do Caxemira) - Documentos decoy em temas relevantes para a politica indiana - Coincidencia de campanhas com eventos politicos bilaterais India-Paquistao - Sobreposicao de infraestrutura com SideWinder e Confucius (outros grupos do nexo indiano) - Relatorio Amnesty International associando malware do grupo a empresa de cibersegurança indiana ## Arsenal e Evolução (2009-2025) | Período | Ferramenta | Nota Técnica | |---------|-----------|-------------| | 2009-2016 | Ferramentas públicas modificadas | BADNEWS RAT, QuasarRAT, PowerSploit | | 2017-2020 | BackConfig, TINYTYPHON | Spearphishing com CVE-2017-0199/CVE-2018-0802 | | 2021-2022 | [[ragnatela\|Ragnatela]], [[vajraspy\|VajraSpy]] | Campanhas watering-hole e honey-trap Android | | 2023-2024 | [[pgoshell\|PGoShell]], Brute Ratel C4 | Primeiro uso de red team framework comercial | | 2025 | Python backdoor via MSBuild LOLBIN | Embedded Python runtime, bytecode marshalado | ### Campanha 2025 - MSBuild LOLBIN (destaque tecnico) A campanha mais recente contra defesa paquistanesa demonstrou evolução significativa: - Entrega via ZIP com arquivo MSBuild.exe (projeto MSBuild como dropper) - Runtime Python embarcado completo (pythonw.exe + DLLs) copiado para AppData - Backdoor oculto em `python2_pycache_.dll` (bytecode marshalado, nao script Python) - Persistência via scheduled tasks com nomes mimicando servicos Microsoft - C2 em dominios recentemente registrados (nexnxky.info, upxvion.info) ## Campanhas Notaveis ```mermaid graph TB Op1["2017-2018 Think Tanks EUA CFR, CSIS, MERICS"] --> Op2["2021 Ragnatela Campaign Ministerio Defesa PAK"] Op2 --> Op3["2021-2022 VajraSpy Mobile honey-trap romance"] --> Op4["2024 Jul Bhutan - Brute Ratel Adaptation Fund lure"] Op4 --> Op5["2025 Mar MSBuild Python NRTC/defesa PAK"] --> Op6["2025 Mai Caution vs Propaganda defesa paquistanesa"] style Op1 fill:#7f8c8d,color:#fff style Op2 fill:#e67e22,color:#fff style Op3 fill:#c0392b,color:#fff style Op4 fill:#8e44ad,color:#fff style Op5 fill:#e74c3c,color:#fff style Op6 fill:#c0392b,color:#fff ``` | Data | Alvo | Técnica | Malware | |------|------|---------|---------| | 2017-2018 | Think tanks EUA (CFR, CSIS) | Spearphishing + CVE-2017-8570 | [[s0262-quasarrat\|QuasarRAT]] | | 2021 | Ministerio Defesa Paquistao | Spearphishing + RTF malicioso | [[ragnatela\|Ragnatela]] | | 2021-2022 | Usuarios Paquistao/India | Honey-trap romance Android | [[vajraspy\|VajraSpy]] | | Jul 2024 | Butao (Adaptation Fund) | LNK -> Brute Ratel C4 | [[pgoshell\|PGoShell]] | | Mar 2025 | Defesa PAK (NRTC) | MSBuild LOLBIN + Python | Python backdoor | | Mai 2025 | Instituicoes defesa PAK | Docs "Caution vs Propaganda" | [[s0128-badnews\|BADNEWS]] variante | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1574-001-dll|T1574.001 - DLL Side-Loading]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials Web Browsers]] - [[t1021-001-remote-desktop-protocol|T1021.001 - RDP]] - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Software Utilizado - [[s0272-ndiskmonitor|NDiskMonitor]] - [[s0262-quasarrat|QuasarRAT]] - [[s0475-backconfig|BackConfig]] - [[s0131-tinytyphon|TINYTYPHON]] - [[s0128-badnews|BADNEWS]] - [[vajraspy|VajraSpy]] - [[ragnatela|Ragnatela]] - [[pgoshell|PGoShell]] ## Relevância para o Brasil e LATAM O Patchwork historicamente concentrou-se em alvos diplomaticos e governamentais no Sul Asiatico. Entretanto, seu perfil e relevante para o Brasil por múltiplos fatores: **Risco direto moderado:** - ESET confirmou que o grupo alvejá embaixadas e missoes diplomaticas dos paises-alvo **em qualquer regiao, incluindo Américas do Norte e Latina** - A embaixada paquistanesa no Brasil, missoes diplomaticas indianas e representacoes de paises do Sul Asiatico sao alvos potenciais - Think tanks e academicos brasileiros com foco em geopolitica asiatica (CEBRI, IPEA) podem ser alvejados via spearphishing **Risco de spillover tecnico:** - O VajraSpy (RAT Android) e o modelo de honey-trap romance sao tacticas replicaveis por grupos LATAM contra alvos de alto valor - A técnica de MSBuild LOLBIN + embedded Python runtime demonstra sofisticacao evasiva relevante para defenders brasileiros **Setores em risco potencial:** [[government|governo]], [[research|pesquisa academica]], [[defense|defesa]], [[technology|tecnologia]]. ## Referências - [MITRE ATT&CK - G0040](https://attack.mitre.org/groups/G0040/) - [Brandefense - Moonlight Tiger 2025](https://brandefense.io/blog/moonlight-tiger-apt-2025/) - [The Hacker News - Patchwork Bhutan 2024](https://thehackernews.com/2024/07/patchwork-hackers-target-bhutan-with.html) - [JNR Management - MSBuild Python Backdoor 2025](https://www.jnrmanagement.com/India-aligned-dropping-elephant-targets-pakistan-military-r&d-with-embedded-python-runtime-backdoor.html) - [ESET - DoNot Go! Do not respawn! (contexto regional)](https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/)