g0066-elderwood - RunkIntel

# Elderwood > [!warning] **Elderwood** é um grupo de ameaça atribuído a **China**. ## Descrição Elderwood é um grupo de espionagem cibernética de origem chinesa suspeita, supostamente responsável pela intrusão à Google em 2009, conhecida como Operation Aurora. O grupo tem como alvos organizações de defesa, fabricantes de cadeias de suprimento, entidades de direitos humanos e organizações não governamentais (ONGs), além de provedores de serviços de TI. **Também conhecido como:** Elderwood, Elderwood Gang, Beijing Group, Sneaky Panda ### Attack Flow ## Técnicas Utilizadas - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] ## Software Utilizado - [[s0012-poisonivy|PoisonIvy]] - [[s0205-naid|Naid]] - [[s0204-briba|Briba]] - [[s0203-hydraq|Hydraq]] - [[s0211-linfo|Linfo]] - [[s0210-nerex|Nerex]] - [[s0207-vasport|Vasport]] - [[s0206-wiarp|Wiarp]] - [[s0208-pasam|Pasam]] ## Relevância para o Brasil e LATAM Elderwood é um grupo chinês histórico (Operation Aurora, 2009) com foco em defesa e fabricantes de supply chain, apresentando risco baixo a moderado direto para Brasil e LATAM atualmente. Porém, o padrão de ataque (phishing spearfish + drive-by exploits) e interesse em cadeias de suprimento de TI/defesa permanece relevante modelo archetípico. ONGs brasileiras de direitos humanos e provedores de TI críticos devem manter vigilância sobre técnicas de spear-phishing sofisticado do grupo. A presença documentada de Elderwood em múltiplas regiões (não apenas Ásia) sugere possibilidade de operações dormentes ou ressurgência em mercados emergentes com interesse geopolítico chinês. --- *Fonte: [MITRE ATT&CK - G0066](https://attack.mitre.org/groups/G0066)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.