g0045-apt10 - RunkIntel

# APT10 > [!danger] APT10 (Stone Panda / MenuPass) - MSS China, Pioneiro de Supply Chain via MSPs > **APT10** (rastreado como MenuPass, Stone Panda, Red Apollo e Cloud Hopper) e um dos grupos de espionagem chineses mais longevos e prolíficos, atribuido ao **Buro de Tianjin do Ministerio de Segurança do Estado da China (MSS)**. O grupo foi o **pioneiro do modelo de ataque via provedores de servicos gerenciados (MSPs)** - comprometendo MSPs para acessar centenas de clientes finais de uma vez, sem comprometer cada alvo individualmente. Dois membros foram indiciados pelo DOJ americano em 2018. Continua ativo em 2025-2026 sob os nomes Earth Kasha e Bronze Riverside, focando em Jápao e Taiwan. ## Visão Geral **APT10** e ativo desde pelo menos 2009 e foi públicamente exposto pela PwC e BAE Systems em abril de 2017 com o relatorio "Operation Cloud Hopper" - um dos estudos mais detalhados já públicados sobre espionagem via supply chain de TI. A operação revelou que o grupo havia comprometido dezenas de MSPs globalmente para acessar centenas de clientes em mais de 14 paises. **Linha do tempo evolutiva:** - **MenuPass (2009-2013)**: ataques diretos a empresas de construcao, engenharia e governo no Jápao e EUA via spear phishing - **Stone Panda / Red Apollo (2013-2016)**: expansao global, desenvolvimento de RedLeaves e ANEL como implantes principais - **Cloud Hopper (2014-2017)**: revolução do modelo - atacar MSPs para acessar clientes finais en masse - **Earth Kasha / Bronze Riverside (2018-2026)**: pos-indiciamento, focado em Jápao, Taiwan e alvos estratégicos asiáticos; uso de ANEL atualizado e Cobalt Strike **Atribuicao ao MSS - Buro de Tianjin:** Em dezembro de 2018, o DOJ americano indiciou **Zhu Hua** e **Zhang Jianguo** como membros do APT10 associados ao Buro de Tianjin do MSS e a empresa front Huaying Haitai Co. Ltd. Atribuicao corroborada pelos governos do Reino Unido, Jápao, Australia, Canada e outros parceiros Five Eyes. **Por que MSPs?** MSPs gerenciam redes de dezenas ou centenas de clientes simultaneamente, usando credenciais e ferramentas de administracao remota com alto privilegio. Comprometer um MSP e equivalente a comprometer todos os seus clientes - custo-beneficio impossível de superar para grupos APT. ```mermaid graph TB A["Spear Phishing Docs maliciosos para MSP T1566.001 - Alvo: MSP staff"] --> B["Implante no MSP RedLeaves / ANEL / PlugX T1078 - Credenciais MSP"] B --> C["Pivot para Clientes Via credenciais admin MSP T1199 - Trusted Relationship"] C --> D["Acesso Privilegiado WMI + CMD + PowerShell T1047 - T1059.001/003"] D --> E["Coleta de PI Documentos, email, bancos de dados T1003.001 - LSASS + T1560.001"] E --> F["Exfiltração de Longo Prazo Comprimido e cifrado Canais C2 RedLeaves/ANEL"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#922b21,color:#fff style D fill:#7b241c,color:#fff style E fill:#196f3d,color:#fff style F fill:#6c3483,color:#fff ``` ## Campanhas Documentadas ### Operation Cloud Hopper - 2014 a 2017 A campanha que definiu o modelo de ataque via MSPs e tornou o APT10 famoso: - Comprometimento de **mais de 45 MSPs** em EUA, Europa, Jápao, Canada, Australia, India, Africa do Sul - Acesso a centenas de clientes finais via credenciais e ferramentas de administracao dos MSPs - Setores atingidos: defesa, aeroespacial, farmaceutico, tecnologia, governo, financeiro - Implantes principais: REDLEAVES e ANEL (UPPERCUT) - backdoors customizados desenvolvidos pelo grupo - Duracao de acesso em alguns alvos: mais de 12 meses sem detecção - Resposta: indiciamento de 2 membros pelo DOJ; alertas conjuntos Five Eyes ### APT10 Jápan Government Campaign - 2021 a 2022 Campanha documentada pos-indiciamento, operando como Earth Kasha: - Alvos: ministérios jáponeses de Defesa, Tecnologia, Pesquisa - Uso de novo ANEL (UPPERCUT) atualizado e Cobalt Strike - Comprometimento de contratantes de defesa jáponeses ligados ao Ministerio da Defesa - NCSC UK e NISC Jápan emitiram alertas conjuntos ### Earth Kasha - 2024 a 2026 Cluster mais recente, documentado pela Trend Micro: - Foco em Taiwan e Jápao - objetivos estratégicos chineses na regiao - LODEINFO como implante customizado de fase 2 - Exploração de VPNs Pulse Secure e outros dispositivos de borda - Correlação de TTPs confirmada pelo Trend Micro com cadeia APT10 ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0153-redleaves\|RedLeaves RAT]] | Backdoor | Implante customizado principal - C2 cifrado RC4, TCP/HTTPS multi-protocolo | | [[anel\|ANEL (UPPERCUT)]] | Backdoor | Segundo implante principal - distribuido via documentos Word com macros VBA | | [[s0013-plugx\|PlugX]] | Backdoor | Ferramenta compartilhada com múltiplos APTs chineses | | [[quasar-rat\|QuasarRAT]] | RAT open-source | Ferramenta complementar de acesso remoto | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Usado em campanhas mais recentes (Earth Kasha) | | [[mimikatz\|Mimikatz]] | Credential Dumping | Extração de credenciais de LSASS para movimento lateral | | HTran | Proxy/Tunnel | Ofuscacao de trafego C2 para mascarar origem | ## Timeline ```mermaid timeline title APT10 (Stone Panda / MenuPass) - Linha do Tempo 2009 : Primeiras operacoes documentadas : MenuPass - alvos jápao e engenharia 2014 : Operation Cloud Hopper inicia : Comprometimento de MSPs globais 2017 : PwC e BAE Systems publicam Cloud Hopper : 45+ MSPs expostos 2018-12 : DOJ inDicia Zhu Hua e Zhang Jianguo : Five Eyes confirmam atribuicao ao MSS Tianjin 2021 : Campanha contra governo jápones : Earth Kasha identificado pela Trend Micro 2024 : Earth Kasha targets Taiwan e Jápao : LODEINFO e Cobalt Strike como ferramentas 2026 : Operacoes continuas - regiao Asia-Pacifico ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word com macros VBA entregando ANEL/RedLeaves | | Initial Access | Trusted Relationship | [[t1199-trusted-relationship\|T1199]] | Pivot de MSP para clientes via credenciais de administracao | | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de VPNs Pulse Secure em campanhas recentes | | Execution | WMI | [[t1047-windows-management-instrumentation\|T1047]] | Execução remota via WMI em sistemas de clientes MSP | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de payloads via PowerSploit e scripts customizados | | Persistence | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Persistência via tarefas agendadas em sistemas comprometidos | | Persistence | DLL Hijacking | [[t1574-001-dll\|T1574.001]] | DLL side-loading para executar implantes mascarados | | Credential Access | LSASS Memory | [[t1003-001-lsass-memory\|T1003.001]] | Mimikatz para dump de credenciais LSASS | | Lateral Movement | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais MSP admin reutilizadas para pivotar entre clientes | | Exfiltration | Archive via Utility | [[t1560-001-archive-via-utility\|T1560.001]] | Compressao RAR/ZIP antes da exfiltração | ## Relevância para o Brasil e LATAM > [!warning] Risco Direto - Brasil Listado como Alvo Historico do APT10 > O CFR Cyber Operations Tracker confirma o **Brasil como alvo historico do APT10** na Operation Cloud Hopper. MSPs brasileiros que gerenciam redes de setores estratégicos (governo, defesa, financeiro, energia) sao o vetor preferido do grupo - um MSP brasileiro comprometido pode dar acesso a dezenas de clientes corporativos e governamentais simultaneamente. O modelo Cloud Hopper e o mesmo que o Silk Typhoon (HAFNIUM) adotou em 2024 - confirma que a estratégia e eficaz e replicavel. **Setores de risco prioritario no Brasil:** - **MSPs e SIs (integradores de sistemas)**: o vetor de ataque preferido do APT10; MSPs brasileiros que gerenciam redes de governo e finanças sao alvos de alto valor - **Defesa e aeroespacial**: Embraer, IMBEL, Avibras - propriedade intelectual militar de alto valor - **Governo federal**: ministerios com dados de politica externa, tecnologia e pesquisa - **Farmaceuticas**: EMS, Eurofarma, Instituto Butantan - PI de pesquisa farmaceutica e vacinas - **Telecomúnicacoes**: Vivo, Claro, TIM - infraestrutura de rede gerenciada por MSPs vulneraveis **Acao imediata:** - MSPs brasileiros: auditar credenciais de acesso remoto a clientes; implementar MFA obrigatório - Revogar certificados e rotacionar credentials de administracao de clientes periodicamente - Monitorar uso anômalo de ferramentas de administracao remota (RDP, WMI, PSExec) ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | RedLeaves comúnicando via TCP customizado para IPs externos | NDR: detecção de protocolo desconhecido em porta 80/443 | | ANEL (UPPERCUT) - macro VBA em Word disparando script de download | EDR: alert para Word criando processo filho executando download | | wmiexec.vbs em logs de execução | SIEM: Sigma rule para wmiexec.vbs - indicador específico do APT10 | | DLL side-loading - processo legitimo carregando DLL de diretorio inesperado | EDR: detecção de DLL hijacking por processo e caminho | | Acesso de MSP a cliente em horario incomum com conta de servico | SIEM: correlação de login MSP admin fora do horario habitual | | Compressao RAR de grande volume seguida de upload para IP externo | DLP: alertas para exfiltração via RAR compress + upload | ## Referências - [1](https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html) PwC/BAE Systems - Operation Cloud Hopper (Apr 2017) - [2](https://www.justice.gov/opa/pr/two-chinese-hackers-associated-ministry-state-security-charged-global-computer-intrusion) DOJ - Two Chinese Hackers Charged (Dec 2018) - [3](https://attack.mitre.org/groups/G0045) MITRE ATT&CK - APT10/menuPass (G0045) - [4](https://www.huntress.com/threat-library/threat-actors/apt10) Huntress - APT10 Threat Actor Profile (2025) - [5](https://www.trendmicro.com/en_us/research/24/k/lodeinfo-campaign-of-earth-kasha.html) Trend Micro - Earth Kasha LODEINFO Campaign (2024) - [6](https://www.waterisac.org/system/files/articles/(U)%20FBI%20FLASH%20-%20%20Chinese%20APT10%20intrusion%20activities%20target%20-%2020190102.pdf) FBI FLASH - Chinese APT10 Intrusion Activities (Ján 2019) **Atores relacionados:** [[g0125-silk-typhoon|Silk Typhoon (HAFNIUM)]] · [[g0006-apt1|APT1]] · [[g0096-apt41|APT41]] · [[apt9|APT9]] **Campanhas:** [[operation-cloud-hopper|Operation Cloud Hopper 2017]] · [[apt10-jápan-2021|Jápan Campaign 2021]] **Malware e ferramentas:** [[s0153-redleaves|RedLeaves]] · [[anel|ANEL (UPPERCUT)]] · [[s0013-plugx|PlugX]] · [[s0154-cobalt-strike|Cobalt Strike]] · [[mimikatz|Mimikatz]] **TTPs principais:** [[t1199-trusted-relationship|T1199]] · [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1003-001-lsass-memory|T1003.001]] · [[t1047-windows-management-instrumentation|T1047]] · [[t1574-001-dll|T1574.001]] **Setores alvejados:** [[technology|Tecnologia]] · [[government|Governo]] · [[defense|Defesa]] · [[financial|Financeiro]] · [[manufacturing|Manufatura]]