g0075-rancor - RunkIntel

# Rancor ## Visão Geral **Rancor** é um grupo de espionagem cibernética descoberto pela Unit 42 (Palo Alto Networks) em 2018, com histórico rastreado de 2017. O grupo conduz campanhas altamente direcionadas contra **entidades políticas no Sudeste Asiático**, principalmente Cambojá e Singapura, usando documentos de isca baseados em notícias políticas reais hospedados em sites governamentais comprometidos. O Rancor é notável por dois aspectos: uso de **PLAINTEE**, um malware que utiliza protocolo UDP customizado para comúnicações C2 (técnica rara), e ligação confirmada ao Trojan [[s0255-ddkong|KHRAT]], associado ao grupo chinês [[g0017-dragonok|DragonOK]]. A Kaspersky também identificou conexões entre Rancor e DragonOK com base em infraestrutura compartilhada. **Também conhecido como:** RANCOR, Rancor Group ## Attack Flow - Espionagem com Iscas Políticas ```mermaid graph TB A["📧 Spear-phishing Político T1566.001 - E-mails Notícias Cambojá/Singapura"] --> B["📄 Documento Isca T1204.002 - Arquivo malicioso Hospedado em sites legítimos"] B --> C["⚙️ VBS/MSI Execution T1059.005 Visual Basic T1218.007 MSIExec silent"] C --> D["🔒 Persistência Dupla T1053.005 Scheduled Task T1546.003 WMI Subscription"] D --> E["📥 PLAINTEE/DDKONG T1105 Ingress Transfer UDP protocol customizado"] E --> F["🌐 Comúnicação C2 T1071.001 Web Protocols Exfiltração de dados políticos"] classDef lure fill:#c0392b,color:#fff,stroke:#922b21 classDef doc fill:#e74c3c,color:#fff,stroke:#c0392b classDef exec fill:#e67e22,color:#fff,stroke:#d35400 classDef persist fill:#8e44ad,color:#fff,stroke:#6c3483 classDef malware fill:#1a5276,color:#fff,stroke:#154360 classDef c2 fill:#196f3d,color:#fff,stroke:#145a32 class A lure class B doc class C exec class D persist class E malware class F c2 ``` > [!info] Protocolo UDP Customizado - Assinatura Única > O [[s0254-plaintee|PLAINTEE]] utiliza protocolo UDP proprietário para comúnicações C2 - técnica extremamente rara. Esse protocolo customizado dificulta a detecção por soluções de segurança que inspecionam apenas HTTP/HTTPS. O PLAINTEE parece ser exclusivo do Rancor, ao contrário do [[s0255-ddkong|DDKONG]] que foi observado em outros atores. ## Infraestrutura e Conexão com DragonOK ```mermaid graph TB A["Rancor Group"] --> B["KHRAT Trojan Domínios compartilhados IP 89.46.222.97"] A --> C["PLAINTEE malware UDP protocol customizado Exclusivo Rancor"] A --> D["DDKONG malware Fev 2017 - presente Múltiplos atores"] B --> E["DragonOK BRONZE OVERBROOK APT chinês"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#c0392b,color:#fff ``` A ligação com [[g0017-dragonok|DragonOK]] foi estabelecida via monitoramento de domínios C2 do KHRAT - em fevereiro de 2018, domínios associados ao KHRAT passaram a resolver para o IP `89.46.222.97`, que levou os pesquisadores às amostras PLAINTEE e DDKONG do Rancor. ## Arsenal de Malware ### DDKONG - **Tipo:** DLL loader com três funcionalidades principais - **Primeira observação:** Fevereiro 2017 - **Uso:** Múltiplos atores (não exclusivo do Rancor) - **Funcionalidades:** ServiceMain (DLL como service), Rundll32Call (instância única), DllEntryPoint - **Capacidades de plugin:** upload/download de arquivos, listagem de diretórios ### PLAINTEE - **Tipo:** Backdoor com protocolo UDP customizado - **Primeira observação:** Outubro 2017 - **Uso:** Exclusivo do Rancor (segundo análise Unit 42) - **Característica única:** Protocolo UDP proprietário para C2 - raro e difícil de detectar - **Capacidades:** Coleta de informações do sistema, persistência, execução de plugins remotos ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos com iscas políticas cambojanas | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Arquivos HTA, DLL Loaders, macros Excel | | Visual Basic | [[t1059-005-visual-basic\|T1059.005]] | Scripts VBS como primeiro estágio | | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Persistência via tarefas agendadas | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de payloads PLAINTEE/DDKONG | | MSIExec | [[t1218-007-msiexec\|T1218.007]] | Instalação silenciosa de malware | | WMI Event Subscription | [[t1546-003-windows-management-instrumentation-event-subscription\|T1546.003]] | Persistência via eventos WMI | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTP | ## Campanhas Documentadas | Data | Campanha | Alvo | Isca | |------|----------|------|------| | Fev 2017 | DDKONG inicial | Cambojá | Documentos políticos | | Out 2017 | Adição PLAINTEE | Singapura, Cambojá | Notícias Cambodia National Rescue Party | | Ján-Jun 2018 | Cluster A e B | Cambojá, Singapura | Site governo Cambojá comprometido + Facebook | ## Relevância para o Brasil e LATAM O Rancor tem **foco geográfico exclusivo** no Sudeste Asiático - sem evidência de campanhas contra Brasil ou LATAM. A relevância direta é baixa, porém o grupo ilustra um modelo de espionagem altamente relevante para a região: - **Iscas políticas regionais**: O modelo de usar notícias locais autênticas como isca é adaptável a contextos LATAM (eleições, protestos, diplomacia regional) - **Sites governamentais como hosts**: O fato de documentos maliciosos serem hospedados em site do governo Cambojá comprometido é um vetor que pode afetar redes governamentais LATAM - **KHRAT / DragonOK**: A ligação com DragonOK torna o monitoramento de IoCs relevante para identificar família de ferramentas chinesas em redes regionais > [!info] Monitoramento de IoCs Recomendado > Embora Rancor não foque em LATAM, suas ferramentas (PLAINTEE, DDKONG) compartilham infraestrutura com DragonOK - outro APT chinês. Monitoramento de IoCs desses grupos é defensivamente relevante em redes governamentais brasileiras. ## Referências - [1](https://unit42.paloaltonetworks.com/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/) Unit 42 - RANCOR: Targeted Attacks in South East Asia Using PLAINTEE and DDKONG (2018) - [2](https://attack.mitre.org/groups/G0075/) MITRE ATT&CK - Rancor G0075 - [3](https://www.securityweek.com/rancor-cyber-espionage-group-uncovered/) SecurityWeek - RANCOR Cyber Espionage Group Uncovered (2018) - [4](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Rancor&n=1) ETDA Thailand - Rancor Threat Group Card - [5](https://thehackernews.com/2018/06/cyber-espionage-malware.html) The Hacker News - New Malware Family Uses Custom UDP Protocol (2018)