g0062-ta459 - RunkIntel

# TA459 > [!medium] APT Chinesa com Foco na Ásia Central e Espionagem contra Jornalistas > O **TA459** é um grupo de espionagem cibernética rastreado pela Proofpoint como originário da China, especializado em campanhas contra governos, telecomúnicações e jornalistas na **Ásia Central** - particularmente Rússia, Belarus, Mongólia e repúblicas da CEI. O grupo ganhou visibilidade em 2017 ao usar rapidamente o CVE-2017-0199 (exploração de Word/HTA) para distribuir o downloader [[s0230-zerot|ZeroT]] que carregava [[s0013-plugx|PlugX]], e em 2022 com campanhas documentadas contra jornalistas cobrindo eventos geopolíticos. ## Visão Geral O TA459 foi identificado e nomeado pela Proofpoint em 2017 após campanhas de spear-phishing explorando oportunisticamente o CVE-2017-0199 - uma vulnerabilidade de execução remota em Microsoft Word via arquivos HTA que havia sido recentemente divulgada públicamente. Esta rapidez na adoção de exploits recém-divulgados é característica dos APTs chineses mais ágeis operacionalmente. O grupo mantém foco geográfico restrito à **Ásia Central e região da CEI** - Rússia, Belarus, Mongólia, Cazaquistão e repúblicas da Ásia Central. Este foco regional sugere missão de inteligência alinhada com interesses estratégicos chineses na região: monitoramento de influência russa, rotas da Iniciativa Cinturão e Rota (BRI), e vigilância de populações de minorias étnicas (como uigures) que circulam na região. O arsenal do TA459 é composto por ferramentas amplamente utilizadas por grupos APT chineses: [[s0013-plugx|PlugX]] (backdoor modular de uso extensivo em APTs PLA/MSS), [[s0033-nettraveler|NetTraveler]] (infostealer de longa data), [[s0230-zerot|ZeroT]] (downloader com steganografia para esconder payload) e variantes do [[gh0st-rat|Gh0st RAT]] conhecidas como PCrat/Gh0st. O uso de ferramentas compartilhadas dificulta a atribuição precisa mas aponta para o ecossistema chinês de ferramentas compartilhadas entre diferentes grupos APT. Em abril de 2022, a Proofpoint documentou uma campanha do grupo contra **jornalistas e organizações de mídia** cobrindo eventos geopolíticos - alinhada com a tendência de APTs chineses de monitorar narrativas jornalísticas sobre assuntos sensíveis para Beijing. **Características operacionais:** - Adoção rápida de exploits recém-divulgados - CVE-2017-0199 usado logo após divulgação pública - Arsenal de ferramentas compartilhadas com outros APTs chineses (PlugX, Gh0st RAT, NetTraveler) - Foco exclusivo em Ásia Central e CEI - missão de inteligência regional - Targeting de jornalistas como alvo primário em campanhas de 2022 ## Attack Flow - Campanha Ásia Central 2017 ```mermaid graph TB A["Reconhecimento Seleção de alvos Ásia Central Jornalistas e governo"] --> B["Spear-phishing Documento Word com CVE-2017-0199 T1566.001 - HTA exploit"] B --> C["Execução Word abre HTA remoto T1203 - client execution"] C --> D["ZeroT Downloader Download com steganografia Carrega PlugX cifrado"] D --> E["PlugX Implantado Backdoor modular Persistência + C2"] E --> F["Exfiltração Documentos e credenciais Via canal cifrado HTTP"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff ``` ## Linha do Tempo ```mermaid timeline title TA459 - Evolução Documentada 2017 : Identificado pela Proofpoint : CVE-2017-0199 explorado oportunisticamente : Campanha Ásia Central com ZeroT + PlugX 2018-2021 : Operações continuadas : Foco Rússia, Belarus, Mongólia : Arsenal diversificado (NetTraveler, Gh0st) 2022 : Campanha contra jornalistas documentada : Proofpoint publica análise : Cobertura de eventos geopolíticos como lure 2023-2025 : Ativo com baixo perfil público : Foco Ásia Central mantido ``` ## Arsenal | Ferramenta | Categoria | Características | |-----------|-----------|----------------| | [[s0013-plugx\|PlugX]] | Backdoor modular | Backdoor de uso extensivo em APTs chineses; plugins carregados dinâmicamente; USB spreading | | [[s0230-zerot\|ZeroT]] | Downloader | Usa steganografia para esconder payload; bypass UAC; DLL hijacking | | [[s0033-nettraveler\|NetTraveler]] | Infostealer | Keylogger + coleta de documentos; usado em APTs chineses desde 2005 | | [[gh0st-rat\|Gh0st RAT]] | RAT | Variante PCrat/Gh0st; C2 via TCP; tráfego identificável por padrão GHOST5 | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word enviados a alvos em Ásia Central e jornalistas | | Execution | Exploitation for Client Exec | [[t1203-exploitation-for-client-execution\|T1203]] | CVE-2017-0199 - Word executa HTA remoto via OLE | | Execution | Visual Basic | [[t1059-005-visual-basic\|T1059.005]] | VBScript para execução de downloaders | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | PowerShell para execução de payloads de estágio 2 | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Vítima abre documento Word armado | ## Relevância para o Brasil e LATAM > [!low] Foco Regional na Ásia Central - Sem Histórico Documentado no Brasil > O TA459 mantém foco operacional exclusivo na Ásia Central e região da CEI. Não há histórico documentado de operações contra o Brasil ou LATAM. O valor desta nota para analistas brasileiros é primariamente técnico: o arsenal do grupo (PlugX, ZeroT, NetTraveler) é compartilhado com APTs chineses que têm interesse documentado no Brasil. Para organizações brasileiras, os pontos relevantes do TA459 são: 1. **CVE-2017-0199 ainda circula**: exploits de versões desatualizadas de Office continuam efetivos em ambientes com patching irregular - o CVE-2017-0199 é referência para treinamento de análise de documentos maliciosos 2. **PlugX como indicador de APT chinês**: o uso de PlugX é correlacionado com dezenas de grupos APT chineses ativos - detecção de PlugX em qualquer rede brasileira deve ser tratada como indicador de comprometimento de alta severidade 3. **Jornalistas como alvo**: a campanha de 2022 contra jornalistas é padrão replicável - correspondentes brasileiros cobrindo política externa chinesa ou conflitos geopolíticos são perfil de interesse para grupos similares ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | Word executando HTA remoto via OLE | T1203 | Patch obrigatório CVE-2017-0199; análise de documentos em sandbox | | ZeroT - download de imagem PNG/JPG com payload oculto | T1059 | Proxy inspection - alertar em imagens baixadas por processo Office | | PlugX - serviço Windows com DLL hijacking e C2 TCP | T1566.001 | Hash de PlugX em IOC feeds; behavioral de new service + DLL suspeita | | Gh0st RAT - tráfego com magic bytes "GHOST5" | T1071.001 | NDR - assinatura de protocolo Gh0st em tráfego de rede | | Macro VBScript em documento invocando cmd.exe | T1059.005 | Script block logging; AppLocker para VBScript em usuarios non-admin | **Mitigações prioritárias:** Patch de Office ([[m1051-update-software|M1051]]), desabilitar OLE remoto ([[m1042-disable-or-remove-feature-or-program|M1042]]) e MFA para acesso a sistemas críticos ([[m1032-multi-factor-authentication|M1032]]). ## Referências - [1](https://attack.mitre.org/groups/G0062/) MITRE ATT&CK - TA459 (G0062) - [2](https://www.proofpoint.com/us/blog/threat-insight/above-fold-and-your-inbox-tracing-state-aligned-activity-targeting-journalists) Proofpoint - Above the Fold: Tracing State-Aligned Activity Targeting Journalists (2022) - [3](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=TA459) ETDA Threat Group Cards - TA459 (2025) - [4](https://malpedia.caad.fkie.fraunhofer.de/actor/ta459) Malpedia - TA459 Actor Profile **Malware:** [[s0013-plugx|PlugX]] · [[s0230-zerot|ZeroT]] · [[s0033-nettraveler|NetTraveler]] · [[gh0st-rat|Gh0st RAT]] **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1203-exploitation-for-client-execution|T1203]] · [[t1059-001-powershell|T1059.001]] **Setores:** [[government|Governo]] · [[telecommunications|Telecom]] · [[media|Mídia]] **Relacionados:** [[g0129-mustang-panda|Mustang Panda]] · [[g0045-apt10|APT10]] · [[g0096-apt41|APT41]]