# Tropic Trooper > [!warning] APT Chinês com Foco em Governo, Transporte e Exfiltração via USB > Tropic Trooper (também rastreado como Piraté Panda, KeyBoy e Earth Centaur) é um grupo APT com atribuição moderada a atores chineses, ativo desde 2011 com foco persistente em entidades governamentais, de transporte e saúde em Taiwan, Filipinas e Oriente Médio. A assinatura mais distinta do grupo é a capacidade de **exfiltração via USB** contra redes air-gapped - o malware [[s0452-usbferry|USBferry]] foi desenvolvido específicamente para coletar dados de sistemas sem conectividade à internet, sugerindo alvos de alta sensibilidade como redes militares ou sistemas de controle industrial isolados. ## Visão Geral O **Tropic Trooper** é um ator de espionagem de longa duração, com atividade documentada desde 2011 e campanhas ativas detectadas até 2024. O grupo é rastreado pela Trend Micro (Earth Centaur), ESET, e MITRE, com diferentes análises apontando para diferentes níveis de sofisticação ao longo dos anos. A característica central do grupo é o **foco regional persistente**: Taiwan é o alvo histórico primário, seguido por Filipinas e Hong Kong. Em anos recentes, o grupo expandiu operações para o Oriente Médio, incluindo Jordânia, Egito e Paquistão - sugerindo interesse em setores de transporte e energia específicos daquela região. O arsenal técnico do grupo evoluiu significativamente desde os primeiros ataques com [[s0012-poisonivy|PoisonIvy]] em 2011: - **Fase 1 (2011-2015)**: PoisonIvy e KeyBoy para espionagem governamental em Taiwan - **Fase 2 (2016-2018)**: YAHOYAH e técnicas de templaté injection para evasão de AV - **Fase 3 (2019-2021)**: USBferry para air-gapped networks; expansão geográfica - **Fase 4 (2022-2024)**: ShadowPad implantado em setores de transporte; Oriente Médio como novo foco O uso de [[s0596-shadowpad|ShadowPad]] - uma backdoor modular compartilhada por múltiplos grupos APT chineses - aponta para possível compartilhamento de ferramentas com outros grupos como APT41 ou Winnti. ## Attack Flow - Comprometimento de Longo Prazo ```mermaid graph TB A["Acesso Inicial<br/>T1566.001 phishing<br/>T1221 templaté injection"] --> B["Execução<br/>T1204.002 malicious file<br/>T1203 client execution"] B --> C["Backdoor Implantado<br/>ShadowPad ou KeyBoy<br/>modular, persistente"] C --> D["Persistência<br/>T1547.001 registry run<br/>T1543.003 windows service"] D --> E["Reconhecimento Interno<br/>T1046 port scan<br/>T1033 user discovery"] E --> F["Coleta de Dados<br/>T1005 local system<br/>T1052.001 USB ferry"] F --> G["Exfiltração<br/>T1573 encrypted channel<br/>T1071.001 web protocols"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#16a085,color:#fff style G fill:#196f3d,color:#fff ``` ## Distribuição de Alvos por Setor ```mermaid pie title Setores Alvejados - Tropic Trooper "Governo e Defesa" : 40 "Transporte e Aviação" : 25 "Saúde" : 15 "Tecnologia" : 12 "Energia" : 8 ``` ## Campanhas e Operações Notáveis | Data | Operação | Alvos | Detalhe | |------|---------|-------|---------| | 2011-2015 | Campanha Taiwan Governo | Agências governamentais de Taiwan | PoisonIvy; persistência de longo prazo | | 2016-2017 | KeyBoy Campaign | Filipinas, Hong Kong | Templaté injection; novos loaders | | 2019 | USBferry Campaign | Militares Taiwan e Filipinas | Air-gapped network exfiltration; USBferry descoberto pela Trend Micro | | 2020-2021 | Earth Centaur - Transporte | Setor de transporte e aviação Taiwan | ShadowPad implantado em sistemas de gestão de frota | | 2022-2023 | Expansão Oriente Médio | Jordânia, Egito, Paquistão | Interesse em infraestrutura de transporte regional | | 2023-2024 | Campanha renovada | Taiwan, Filipinas | Novos loaders, ShadowPad atualizado | ## Arsenal Técnico | Ferramenta | Tipo | Características | |-----------|------|----------------| | [[s0452-usbferry\|USBferry]] | Malware USB | Coleta dados de redes air-gapped via USB; entregue em pendrives infectados | | [[s0596-shadowpad\|ShadowPad]] | Backdoor modular | Backdoor de alta sofisticação; compartilhado por APTs chineses; plugins carregados dinâmicamente | | [[keyboy\|KeyBoy]] | RAT | Backdoor customizado; foco em Taiwan e Filipinas desde 2016 | | [[s0012-poisonivy\|PoisonIvy]] | RAT | Ferramenta de espionagem clássica; uso intenso na fase inicial (2011-2015) | | [[s0388-yahoyah\|YAHOYAH]] | Downloader | Loader para estágio inicial; usa técnica de dead drop para C2 | ## TTPs em Detalhe ### Acesso Inicial e Execução - Spear-phishing com documentos maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]) temáticos para Taiwan (documentos governamentais, relatórios de saúde) - Templaté injection ([[t1221-template-injection|T1221]]) - documentos Word que baixam templaté remoto com macro no momento da abertura - Exploração de execução de cliente ([[t1203-exploitation-for-client-execution|T1203]]) em versões antigas de Office ### Persistência e Evasão - Serviços Windows ([[t1543-003-windows-service|T1543.003]]) para persistência de longo prazo - Registry run keys ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) como método secundário - Arquivos e diretórios ocultos ([[t1564-001-hidden-files-and-directories|T1564.001]]) para esconder artefatos - DLL hijacking ([[t1574-001-dll|T1574.001]]) para bypass de application whitelisting ### Exfiltração Especializada - **USBferry**: malware que cria cópias em pendrives USB conectados, permitindo exfiltrar dados de redes air-gapped. Arquivo de staging criado em pasta oculta do pendrive; coletado manualmente depois - Exfiltração via USB ([[t1052-001-exfiltration-over-usb|T1052.001]]) - método primário para alvos isolados - Canal criptografado ([[t1573-encrypted-channel|T1573]]) com criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) para C2 ## Timeline ```mermaid timeline title Tropic Trooper - Linha do Tempo 2011 : Primeiras campanhas Taiwan : PoisonIvy como ferramenta principal 2016 : Expansão Filipinas e HK : KeyBoy introduzido 2019 : USBferry descoberto : Air-gapped network targeting 2020 : Renomeado Earth Centaur pela TrendMicro : Foco em transporte 2022 : Expansão Oriente Médio : Jordânia, Egito, Paquistão 2024 : Operações continuadas : ShadowPad atualizado ``` ## Relevância para o Brasil e LATAM > [!info] Risco Indireto - Setores de Transporte e Defesa > Tropic Trooper não tem campanhas documentadas contra alvos brasileiros ou latino-americanos. O grupo mantém foco geográfico restrito a Taiwan, Filipinas e, mais recentemente, Oriente Médio. O risco para Brasil é baixo e indireto. Cenários de risco indireto: - **Empresas brasileiras com operações em Taiwan**: o Brasil mantém relações comerciais intensas com Taiwan (TSMC, Foxconn com operações no Brasil); equipes locais em Taiwan poderiam ser vetores de comprometimento que se propagam para redes brasileiras - **Defesa e aeronáutica**: a Embraer possui operações em múltiplos países de interesse do grupo; qualquer comprometimento de um parceiro em zona de interesse do Tropic Trooper poderia criar pivot para redes brasileiras - **Modelo de USB exfiltração**: a técnica USBferry é relevante para defender redes air-gapped críticas no Brasil (Defesa, Nucleares, ATC) Lição principal para defesa: redes críticas brasileiras que operam em modo air-gapped devem implementar controle estrito de dispositivos USB, incluindo bloqueio por hardware e auditoria de todos os pendrives conectados. ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Word abrindo conexão HTTP para buscar templaté remoto | Proxy/FW: bloquear conexões de processo Office para IPs externos | | YAHOYAH - acesso a URLs de dead drop (Pastebin, GitHub) | Proxy: monitorar Office/loaders acessando code hosting platforms | | USBferry - criação de pasta oculta em dispositivo USB | EDR: monitorar criação de diretórios ocultos em drives removíveis | | ShadowPad - serviço Windows com DLL hijacking incomum | EDR: alertas para novo serviço Windows com DLL de path suspeito | | Canal C2 com criptografia assimétrica incomum | NDR: análise de tráfego TLS com certificados auto-assinados | | KeyBoy - processo wsrvice.exe (falso svchost) | EDR: nomes de processos que imitam processos de sistema | ## Referências - [1](https://attack.mitre.org/groups/G0081/) MITRE ATT&CK - G0081 Tropic Trooper (2024) - [2](https://www.trendmicro.com/en_us/research/19/f/tropic-troopers-back-usbferry-attack-targets-air-gapped-environments.html) Trend Micro - Tropic Trooper's USBferry Targets Air-Gapped Environments (2019) - [3](https://www.trendmicro.com/en_us/research/21/l/exploring-the-activities-of-earth-centaur.html) Trend Micro - Exploring Activities of Earth Centaur (2021) - [4](https://www.welivesecurity.com/2016/03/01/meet-keyboy/) ESET WeLiveSecurity - Meet KeyBoy (2016) - [5](https://www.ithome.com.tw/tech/45596) iThome - Tropic Trooper Targeting Taiwan Government (2015) - [6](https://www.secureworks.com/research/threat-profiles/bronze-fleetwood) SecureWorks - BRONZE FLEETWOOD (2022) **Atores relacionados:** [[g0096-apt41|APT41]] · [[g0129-mustang-panda|Mustang Panda]] (sobreposição de ferramentas) **Malware e ferramentas:** [[s0452-usbferry|USBferry]] · [[s0596-shadowpad|ShadowPad]] · [[keyboy|KeyBoy]] **Setores alvejados:** [[government|Governo]] · [[transportation|Transporte]] · [[defense|Defesa]]