g0068-platinum - RunkIntel

# PLATINUM > [!high] APT de Espionagem Governamental com Arsenal de Firmware > O **PLATINUM** é um grupo de espionagem cibernética de alta precisão ativo desde pelo menos 2009, especializado em infiltração de longo prazo de agências governamentais, militares e de inteligência no Sul e Sudeste Asiático. Rastreado pela Microsoft, o grupo ficou célebre pela descoberta de dois recursos técnicos únicos na história do threat intelligence: abuso do mecanismo de **hotpatching** do Windows para injeção furtiva em processos, e uso do canal **Intel AMT Serial-over-LAN** como infraestrutura C2 completamente invisível ao sistema operacional. Ambas as técnicas não tinham sido observadas em nenhum outro ator antes de sua exposição. ## Visão Geral O PLATINUM é rastreado pela Microsoft desde pelo menos 2009 como um dos grupos APT mais disciplinados e furtivos já documentados. Diferentemente da maioria dos grupos de espionagem que operam oportunisticamente, o PLATINUM mantém foco geográfico extremamente restrito - quase exclusivamente em governos, agências de defesa, serviços de inteligência e operadoras de telecomúnicações no Sul e Sudeste Asiático - e conduz apenas um número reduzido de campanhas simultâneas para minimizar exposição. O grupo foi identificado públicamente em abril de 2016 pela Microsoft, após anos de operações não detectadas. A descoberta central foi o abuso do **hotpatching** - um mecanismo do Windows Server 2003 que permitia instalar atualizações sem reinicialização - para injetar código malicioso diretamente no processo `svchost.exe` sem ser detectado por produtos de segurança que monitoravam métodos de injeção convencionais. Essa técnica nunca havia sido observada em uso ofensivo antes do PLATINUM. Em 2017, a Microsoft revelou uma evolução ainda mais radical: o grupo passou a usar o canal **Intel Active Management Technology (AMT) Serial-over-LAN (SOL)** como infraestrutura de comando e controle. O AMT opera no firmware do processador, completamente independente do sistema operacional - tornando toda comunicação C2 invisível a firewalls, ferramentas de monitoramento de rede e produtos de endpoint rodando na máquina comprometida. Até este incidente, nenhum malware havia sido descoberto abusando do AMT SOL para comunicação. **Características operacionais que mantiveram o grupo não detectado por anos:** - Número muito reduzido de campanhas ativas simultaneamente - minimiza exposição e pegada forense - Backdoors configurados para operar apenas durante horário comercial normal - mistura tráfego malicioso ao legítimo - Exclusão ativa de componentes maliciosos após uso - anti-forensics por design - Payloads carregados de servidor remoto apenas uma vez - reduz reexposição de artefatos - Malware customizado e frequentemente atualizado para evadir detecção baseada em assinatura - Acesso confirmado a pelo menos quatro zero-days distintos - indica recursos financeiros significativos ## Evolução Operacional ```mermaid timeline title PLATINUM - Evolução Técnica 2009-2025 2009 : Primeiras operações documentadas : Foco em India e Pakistan - espionagem governamental 2012-2015 : Arsenal JPIN + Dipsind implantado : Múltiplas campanhas Sul/Sudeste Asiático : Zero-days contra alvos de governo 2016 : Microsoft publica análise detalhada : Hotpatching abuse exposto publicamente : Primeiro uso documentado de hotpatch offensivo 2017 : Intel AMT SOL como canal C2 : Comúnicação abaixo do sistema operacional : Operação EasternRoppels - Kaspersky 2019 : Backdoor Titanium descoberto por Kaspersky : Cadeia multi-estágio com fileless loading : Camuflagem como software legítimo 2020-2025 : Operações continuadas com menor visibilidade : Arsenal adaptado pós-exposição ``` ## Attack Flow - Intrusão Governamental ```mermaid graph TB A["Acesso Inicial Spear-phishing gov alvo T1566.001 ou drive-by"] --> B["Exploração Zero-day kernel T1068 + T1204.002"] B --> C["Implante JPIN API hooking keylogger Screenshot + downloader"] C --> D["Escalação LSASS dump T1003.001 Process injection T1055"] D --> E["Hotpatch Injection Código em svchost.exe Invisível a AV/EDR"] E --> F["C2 via Intel AMT SOL Firmware-level channel T1095 - abaixo do OS"] F --> G["Exfiltração Seletiva Documentos gov classificados Canal cifrado"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff style G fill:#145a32,color:#fff ``` ## Campanhas Documentadas ### Hotpatching Abuse - Descoberta Microsoft (Abril 2016) A Microsoft descobriu o PLATINUM agressivamente ativo na Malásia e em outros alvos do Sul Asiático, usando o mecanismo de hotpatching do Windows Server 2003 para injetar um backdoor no processo `svchost.exe`. O hotpatch API foi abusado para injetar código malicioso sem acionar sensores comportamentais da maioria dos produtos de endpoint - a primeira ocorrência documentada desta técnica em uso ofensivo. O relatório da Microsoft, públicado em abril de 2016, também revelou o arsenal completo JPIN/Dipsind/adbupd e documentou quatro zero-days explorados pela equipe. ### Intel AMT SOL C2 (2017) Em junho de 2017, a Microsoft públicou análise de uma evolução significativa: o PLATINUM adotou o canal Serial-over-LAN da Intel AMT como mecanismo de transferência de arquivos e C2. O AMT é um subsistema de gerenciamento remoto implementado no firmware do processador Intel, completamente independente do sistema operacional. Comúnicações via AMT SOL são invisíveis a ferramentas de firewall e monitoramento de rede no host comprometido. Nenhum malware anterior havia explorado esta capacidade antes do PLATINUM. ### Operação EasternRoppels (Meados de 2017) A Kaspersky descobriu uma nova campanha atribuída ao PLATINUM, que havia sido considerado inativo após a exposição de 2016. Renomeada internamente como "EasternRoppels", a campanha demonstrou capacidade de adaptação rápida após exposição pública - reconfigurando infraestrutura e adotando novos métodos de evasão. Alvos incluíam organizações governamentais na Ásia-Pacífico. ### Backdoor Titanium (Novembro 2019) A Kaspersky descobriu o Titanium - um backdoor sofisticado usado pelo PLATINUM como payload final de uma cadeia de infecção multi-estágio. O Titanium se distingue por: - Camuflagem como software de segurança legítimo, drivers de som ou software de criação de DVDs - Uso exclusivo de tecnologias fileless e criptografia - nenhum arquivo pode ser detectado como malicioso em disco - Download via Windows BITS e comunicação C2 usando `cURL` legítimo - Sistema de ID único baseado em SystemID + nome do computador + número serial do disco rígido ## Arsenal | Componente | Função | Características Distintivas | |-----------|--------|----------------------------| | [[jpin\|JPIN]] | Backdoor principal | API hooking, keylogger, screenshot, downloader modular | | [[s0200-dipsind\|Dipsind]] | Downloader evasivo | Obfuscação, mascaramento de processo, Winlogon hijack | | [[s0202-adbupd\|adbupd]] | Updater/persistência | Suporte a plugins, sobrevive reboots, modular | | [[titanium\|Titanium]] | Backdoor fileless | Cadeia multi-estágio, camuflado como software legítimo | | AMT SOL C2 | Canal C2 firmware | Abaixo do OS; invisível a AV/EDR; nunca antes visto | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spear-phishing altamente direcionado a funcionários de governo | | Initial Access | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Exploração de plugins de browser contra alvos específicos | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Documentos com exploits embutidos | | Privilege Escalation | Exploitation for PE | [[t1068-exploitation-privilege-escalation\|T1068]] | Zero-days de kernel para escalação | | Credential Access | Credential API Hooking | [[t1056-004-credential-api-hooking\|T1056.004]] | JPIN hookeia APIs de autenticação Windows | | Credential Access | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Múltiplos keyloggers com diferentes técnicas | | Credential Access | LSASS Memory | [[t1003-001-lsass-memory\|T1003.001]] | Dump de credenciais do LSASS | | Defense Evasion | Process Injection | [[t1055-process-injection\|T1055]] | Hotpatch injection em svchost.exe - sem precedente | | Defense Evasion | Masquerading | [[t1036-masquerading\|T1036]] | Titanium se camufla como software legítimo | | C2 | Non-Application Layer Protocol | [[t1095-non-application-layer-protocol\|T1095]] | Intel AMT SOL como canal C2 abaixo do OS | ## Relevância para o Brasil e LATAM > [!low] Ameaça Indireta - Arsenal de Firmware como Referência > O PLATINUM mantém foco geográfico exclusivo no Sul/Sudeste Asiático e não representa ameaça operacional direta ao Brasil. O valor analítico desta nota é **referêncial e técnico**: as capacidades de C2 via Intel AMT e injeção via hotpatch documentadas pelo grupo definem o estado da arte em evasão APT e são conhecimento essencial para equipes de defesa avançada. O PLATINUM não possui histórico documentado de operações contra entidades brasileiras ou latino-americanas. Três aspectos são relevantes para analistas de defesa no Brasil: 1. **Auditoria de Intel AMT**: A técnica de C2 via AMT demonstra que adversários sofisticados podem operar completamente abaixo de ferramentas de endpoint. Organizações brasileiras críticas (defesa, energia, telecomúnicações) devem auditar e desabilitar Intel AMT quando não necessário em endpoints sensíveis 2. **Modelo de persistência modular**: As técnicas de keylogging via API hooking do JPIN e a arquitetura modular do adbupd são replicáveis por outros grupos. Playbooks de detecção de API hooking e injection em svchost são aplicáveis globalmente 3. **Cadeia Titanium para red teams**: A cadeia de infecção multi-estágio completamente fileless do Titanium representa benchmark de sofisticação para exercícios de assumição de comprometimento ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | Tráfego AMT SOL incomum (portas 16992/16993) | T1095 | Monitorar e bloquear tráfego AMT quando não necessário operacionalmente | | Hotpatch API calls de processos não-Windows Update | T1055 | EDR - alertar em injection via hotpatch fora do ciclo de atualização | | API hooking em processos de autenticação (`winlogon`, `lsass`) | T1056.004 | Monitoramento de hooking via EDR avançado | | Dump LSASS por processo não esperado | T1003.001 | Credential Guard + alerta SIEM para acesso LSASS | | Processo renomeado como `svchost.exe` com path incomum | T1036 | EDR - verificação de hash de binários do sistema | | Conexões BITS para domínios não-Microsoft | T1027 | Monitorar BITS jobs para downloads de fontes externas | **Mitigações prioritárias:** Desabilitar Intel AMT quando não necessário ([[m1038-execution-prevention|M1038]]), Credential Guard ([[m1043-credential-access-protection|M1043]]), restrição de acesso LSASS. ## Referências - [1](https://attack.mitre.org/groups/G0068/) MITRE ATT&CK - PLATINUM (G0068) - [2](https://download.microsoft.com/download/2/2/5/225BFE3E-E1DE-4F5B-A77B-71200928D209/Platinum%20feature%20article%20-%20Targeted%20attacks%20in%20South%20and%20Southeast%20Asia%20April%202016.pdf) Microsoft - PLATINUM Feature Article: Targeted Attacks in South and Southeast Asia (2016) - [3](https://www.microsoft.com/en-us/security/blog/2017/06/07/platinum-continues-to-evolve-find-ways-to-maintain-invisibility/) Microsoft Security Blog - PLATINUM Evolves: Intel AMT SOL C2 Channel (2017) - [4](https://securelist.com/titanium-the-platinum-group-strikes-again/94961/) Kaspersky Securelist - Titanium: The PLATINUM Group Strikes Again (2019) - [5](https://securelist.com/platinum-is-back/91135/) Kaspersky Securelist - Operation EasternRoppels: PLATINUM is Back (2018) - [6](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Platinum) ETDA Threat Group Cards - PLATINUM (2025) **Malware:** [[jpin|JPIN]] · [[s0200-dipsind|Dipsind]] · [[s0202-adbupd|adbupd]] · [[titanium|Titanium]] **TTPs:** [[t1055-process-injection|T1055]] · [[t1095-non-application-layer-protocol|T1095]] · [[t1056-004-credential-api-hooking|T1056.004]] · [[t1003-001-lsass-memory|T1003.001]] · [[t1068-exploitation-for-privilege-escalation|T1068]] **Setores:** [[government|Governo]] · [[defense|Defesa]] · [[intelligence|Inteligência]] · [[telecommunications|Telecomúnicações]] **Relacionados:** [[g0013-apt30|APT30]] · [[g0096-apt41|APT41]]