g0065-leviathan - RunkIntel

# Leviathan (APT40) > [!danger] Ameaça Critica - China MSS Hainan > APT40 e capaz de adaptar exploits públicos em horas após divulgacao. Em 2024, 8 agencias internacionais (Australia, Canada, Alemanha, Jápao, Nova Zelandia, Coreia do Sul, UK e EUA) emitiram alerta conjunto. O grupo esta formalmente vinculado ao Departamento de Segurança do Estado de Hainan (MSS China). ## Visão Geral Leviathan (APT40) e um grupo de espionagem cibernética patrocinado pelo Ministerio de Segurança do Estado da China (MSS), operando a partir de Haikou, Provincia de Hainan. Ativo desde pelo menos 2009, o grupo conduz operações de coleta de inteligência alinhadas com os objetivos estratégicos da Marinha Chinesa e a Iniciativa Belt and Road. O grupo e formalmente atribuido à empresa de fachada **Hainan Xiandun Technology Development Company**. Em julho de 2021, o Departamento de Justiça dos EUA indiciou quatro membros do grupo por operações de espionagem cibernética entre 2011 e 2018. **Caracteristica distintiva:** APT40 prefere explorar vulnerabilidades em infraestrutura pública a técnicas de phishing interativo. O grupo converte proof-of-concept de novas vulnerabilidades em exploits operacionais em horas ou dias. **Também conhecido como:** APT40, TEMP.Periscope, TEMP.Jumper, MUDCARP, Gingham Typhoon, Red Ladon, TA423, ISLANDDREAMS, BRONZE MOHAWK ## Campanhas Documentadas | Campanha | Período | Alvo | Destaque | | -------- | ------- | ---- | -------- | | Intrusoes Australianas | 2021-2022 | Governo + setor privado AU | ScanBox via phishing de midia | | Operation BOXRAT | 2023 | Papua-Nova-Guine | CVE-2023-38831 WinRAR | | Ataques Samoa | 2025 | Governo nacional | 1a atribuicao por ilha do Pacifico | | Salt Typhoon (sobreposicao) | 2024 | ISPs EUA | Compromisso de roteadores Cisco | | Log4Shell campaigns | 2021-2022 | Infraestrutura global | Exploração rapida CVE-2021-44228 | ## Arsenal Tecnico ```mermaid graph TB A["Reconhecimento T1595.002 Scan + OSINT T1583.001 Dominios"] --> B["Acesso Inicial T1190 Exploit public-facing T1566.002 Spearphishing link"] B --> C["Foothold T1505.003 Web Shell ScanBox framework"] C --> D["Escalacao + Creds T1003.001 LSASS dump HOMEFRY credential tool"] D --> E["Movimento Lateral T1021.004 SSH T1047 WMI"] E --> F["Exfiltração Furtiva T1567.002 Cloud Storage T1090.003 Multi-hop proxy"] style A fill:#1a3a5c,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2471a3,color:#fff style F fill:#1e8449,color:#fff ``` ## Timeline de Atividade ```mermaid timeline title APT40 - Cronologia de Eventos Chave 2009 : Primeiras atividades documentadas 2013 : Inicio formal de operacoes contra maritimo e defesa 2017 : Alvos em eleicoes Asia-Pacifico 2021 : Indiciamento EUA + Log4Shell rapid exploitation 2022 : Campanha ScanBox Australia + SysAid Log4j 2023 : Operation BOXRAT Papua-Nova-Guine - WinRAR CVE-2023-38831 2024 : Alerta conjunto 8 paises + compromisso ISPs EUA (Salt Typhoon overlap) 2025 : Ataques formalmente atribuidos a Samoa ``` ## TTPs Detalhadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - método preferido sobre phishing - [[t1505-003-web-shell|T1505.003 - Web Shell]] - persistência em servidores comprometidos - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - exfiltração discreta - [[t1595-002-vulnerability-scanning|T1595.002 - Vulnerability Scanning]] - reconhecimento continuo de redes alvo - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - roteamento via dispositivos SOHO comprometidos - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - execução e lateral movement - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - coleta de credenciais - [[t1583-001-domains|T1583.001 - Domains]] - infraestrutura de C2 via dominios proprios - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - phishing seletivo com links maliciosos - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - comprometimento via sites de watering hole - [[t1021-004-ssh|T1021.004 - SSH]] - movimento lateral em ambiente Linux/Unix - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - transferencia de ferramentas pos-acesso - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys]] - persistência em Windows - [[t1589-001-credentials|T1589.001 - Credentials]] - coleta de credenciais de fontes abertas ## Software Utilizado - [[scanbox|ScanBox]] - framework de reconhecimento via watering hole - [[s0232-homefry|HOMEFRY]] - dumper/cracker de credenciais Windows - [[s0021-derusbi|Derusbi]] - backdoor customizado de alto valor - [[s0069-blackcoffee|BLACKCOFFEE]] - malware com C2 via redes legítimas (GitHub, Pastebin) - [[s0642-badflick|BADFLICK]] - backdoor de acesso inicial - [[gh0st-rat|gh0st RAT]] - acesso remoto - [[s0005-windows-credential-editor|Windows Credential Editor]] - coleta de hashes NTLM ## CVEs Exploradas - [[cve-2021-44228|CVE-2021-44228]] - Log4Shell (explorado em horas após divulgacao) - [[cve-2021-31207|CVE-2021-31207]] - Atlassian Confluence RCE - [[cve-2023-38831|CVE-2023-38831]] - WinRAR code execution (Operation BOXRAT) - CVE-2017-0199, CVE-2017-11882 - Microsoft Office exploits historicos ## Relevância para o Brasil e LATAM APT40 tem foco primario na regiao Indo-Pacifico, mas o grupo demonstra interesse em qualquer nacao estratégicamente importante para as rotas maritimas e a Iniciativa Belt and Road Chinesa. O Brasil, como maior economia da América Latina com relevante infraestrutura maritima (Porto de Santos, complexo petrolífero offshore), empresas de defesa (Embraer, Avibras) e pesquisa naval, representa um alvo potencial. O padrao do grupo de explorar rapidamente vulnerabilidades em dispositivos de rede SOHO e VPNs e diretamente relevante para organizacoes brasileiras que frequentemente operam infraestrutura desatualizada. Em 2025, a expansao para Samoa demonstrou que APT40 esta ampliando geograficamente sua atuacao na regiao do Pacifico. > [!warning] Recomendacoes Imediatas > Aplicar patches em dispositivos de rede públicos dentro de 48h de divulgacao de CVE. Implementar monitoramento de web shells em servidores públicos. Auditar dispositivos SOHO/VPN desatualizados usados como infraestrutura de rede. ## Detecção e Hunting - Monitorar web shells em servidores públicos (especialmente .aspx, .php suspeitos) - Alertas para exfiltração via servicos de cloud storage (OneDrive, Google Drive, Dropbox) - Detectar HOMEFRY e LSASS dumps via Sysmon EventID 10 - Hunting por dominios de C2 recentemente registrados com padroes de typosquatting - Monitorar conexoes de saida em portas 80/443 de ativos de infraestrutura de rede ## Referências - [1](https://www.cyber.gov.au/sites/default/files/2024-07/apt40-advisory-prc-mss-tradecraft-in-action.pdf) ACSC/CISA/FBI/NCSC/ASD - APT40 Advisory: PRC MSS Tradecraft in Action (2024) - [2](https://thehackernews.com/2024/07/cybersecurity-agencies-warn-of-china.html) The Hacker News - Cybersecurity Agencies Warn of APT40 Rapid Exploit Adaptation (2024) - [3](https://www.proofpoint.com/us/blog/threat-insight/chasing-currents-espionage-south-china-sea) Proofpoint - Chasing Currents: Espionage in South China Sea (2022) - [4](https://attack.mitre.org/groups/G0065/) MITRE ATT&CK - G0065 Leviathan - [5](https://dailysecurityreview.com/resources/threat-actors-resources/apt40/) Daily Security Review - APT40 Profile with 2025 Activity (2025)