g0093-gallium - RunkIntel

# GALLIUM ## Visão Geral **GALLIUM** (MITRE G0093) e um grupo de ciberespionagem patrocinado pelo Estado chines, ativo desde pelo menos **2012**. Amplamente associado ao Ministerio de Segurança do Estado (MSS) da China, o grupo foi exposto públicamente pelo projeto **Operation Soft Cell** - campanha de comprometimento de longa duracao contra operadoras de telecomúnicacoes no Oriente Medio e Sudeste Asiatico. Também rastreado como **Granite Typhoon** (Microsoft), **Alloy Taurus** (Palo Alto Unit 42) e **Phantom Panda**, o GALLIUM e distinto por seu foco persistente em infraestrutura de telecomúnicacoes para coleta de metadados de chamadas (CDR - Call Detail Records), que permite rastreamento de individuos de alto valor. Em 2024-2025, o grupo expandiu operações para **Europa, Africa e governo diplomatico**, usando [[s0596-shadowpad|ShadowPad]] e [[s0013-plugx|PlugX]] para persistência de longo prazo, alem de abusar do SoftEther VPN para ofuscar origens de intrucoes. A expansao reflete alinhamento com os objetivos da Iniciativa do Cinto e da Rota (Belt and Road Initiative) da China. > [!warning] Ameaça Ativa em 2025 > CrowdStrike (Relatorio Global de Ameaças 2025) classificou o Granite Typhoon entre os "Adversarios Empreendedores" da China - alta eficiencia operacional alinhada aos objetivos do aparelho de inteligência do PCC. ## Atribuicao | Atributo | Detalhe | |---------|---------| | Atribuicao | MSS chines (alta confiança - Microsoft, Mandiant, NCSC UK) | | Conexoes | Sobreposicao de ferramentas com [[g0096-apt41\|APT41]] e [[g0045-apt10\|APT10]] | | Infraestrutura | Servidores baseados em Taiwan, Hong Kong, China continental | | Motivacao primaria | Coleta de metadados de telecom; vigilancia estratégica | Pesquisas apontam para **compartilhamento de ferramentas** com outros grupos chineses (APT10, APT27, APT41) e possívelmente um "quarteirme-mestre digital" que mantem e distribui o arsenal de malware a múltiplos grupos de espionagem. ## Attack Flow - Comprometimento de Telecom ```mermaid graph TB A["Reconhecimento Scan WildFly/JBoss Exchange servers expostos"] --> B["Acesso Inicial T1190 Exploit Web shell China Chopper"] B --> C["Coleta de Credenciais T1003.001 LSASS mim221 - anti-detection"] C --> D["Persistência T1133 SoftEther VPN T1136.002 Domain Account"] D --> E["Movimento Lateral T1570 PsExec Pass-the-hash"] E --> F["Espionagem de Longo Prazo CDR metadata exfil T1041 via C2"] style A fill:#1a3a5c,color:#fff style B fill:#2c5282,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#d68910,color:#fff style F fill:#196f3d,color:#fff ``` ## Campanhas Notaveis | Período | Campanha | Alvo | Detalhe | |---------|---------|------|---------| | 2012-2019 | Operation Soft Cell | Operadoras telecom - Oriente Medio e SE Asia | Acesso a CDR, email corporativo, Active Directory | | 2020-2021 | DeadRinger | 5 grandes telecoms SE Asia | Operação paralela com [[g0019-naikon]] e [[g0027-threat-group-3390]] | | 2021-2022 | PingPull Campaign | 9 paises - telecom, finanças, governo | Deploy do RAT [[s1031-pingpull\|PingPull]] via ICMP | | 2023 | Operation Tainted Love | Telecoms Oriente Medio | Variante mim221 do Mimikatz; sobreposicao com APT41 | | 2024 | Africa Telecom Campaign | Operadoras africanas | SoftEther VPN para persistência; alinhamento BRI | | 2024-2025 | European Diplomatic Targeting | Ministerios europeus e OIs | ShadowPad + PlugX; inteligência diplomatica | ## Arsenal Tecnico ### PingPull - Backdoor via ICMP O [[s1031-pingpull|PingPull]] e o malware-assinatura do GALLIUM para operações avancadas. Escrito em Visual C++, ele suporta **tres variantes de C2**: ICMP (default), HTTPS e raw TCP. A variante ICMP e particularmente furtiva porque poucos ambientes corporativos inspecionam trafego ICMP. ### mim221 - Mimikatz Customizado Em operações de 2023, o GALLIUM implantou uma variante customizada do [[mimikatz|Mimikatz]] chamada **mim221** com componentes anti-detecção sofisticados: `AddSecurityPackage64.dll` e `pc.dll`. Indica desenvolvimento ativo e dedicado por equipe especializada. ## Diagrama de Toolset ```mermaid graph TB subgraph "Acesso Inicial" IA1["China Chopper Web Shell"] IA2["PoisonIvy RAT Legado"] IA3["Exploits JBoss Exchange"] end subgraph "Persistência e C2" P1["PingPull ICMP / HTTPS / TCP"] P2["SoftEther VPN Tunel stealth"] P3["PlugX Modular RAT"] P4["ShadowPad Backdoor avancado"] end subgraph "Coleta" C1["mim221 Mimikatz custom"] C2["WinRAR Compressao exfil"] C3["HTRAN Proxy de rede"] end IA1 --> P1 IA2 --> P3 IA3 --> P4 P1 --> C1 P3 --> C2 P4 --> C3 ``` ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1574-001-dll|T1574.001 - DLL Sideloading]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1136-002-domain-account|T1136.002 - Domain Account]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] ## Software Utilizado - [[s0020-china-chopper|China Chopper]] - [[s0012-poisonivy|PoisonIvy]] - [[s0013-plugx|PlugX]] - [[s1031-pingpull|PingPull]] - [[s0564-blackmould|BlackMould]] - [[mimikatz|Mimikatz]] - [[s0596-shadowpad|ShadowPad]] ## Relevância para o Brasil e LATAM > [!warning] Risco Alto para Operadoras de Telecom > GALLIUM e **especializado em comprometimento de longa duracao de operadoras de telecom** - setor critico em toda a América Latina. Vivo, Claro, TIM e operadoras regionais sao alvos potenciais para acesso a metadados de CDR e vigilancia estratégica. A Operação Soft Cell demonstrou capacidade de manter acesso por **anos** em redes de telecom sem detecção. O padrao de abusar de VPNs (SoftEther) para ofuscar acessos e usar malware customizado com anti-detecção (mim221) eleva significativamente a barreira de detecção. **Relevância para o Brasil:** - Brasil e destino de grande volume de investimento chines em infraestrutura - alinhado ao perfil Belt and Road do GALLIUM - Operadoras de telecom brasileiras com parceiros ou joint ventures asiáticas sao alvo prioritario - O modelo de comprometimento via subsidiarias internacionais (observado com BlackTech) e aplicavel aqui - Monitorar anomalias em roteadores de borda e acessos VPN atipicos e essencial ## Indicadores Chave de Comprometimento - Web shells China Chopper em servidores Exchange ou JBoss - Conexoes ICMP anomalas para IPs externos (PingPull C2) - Instalacao do SoftEther VPN em ambientes corporativos - Processo `mim221` ou variantes de Mimikatz com componentes adicionais de DLL - Contas de dominio de alta privilegio criadas sem aprovacao documentada ## Referências - [MITRE ATT&CK - GALLIUM (G0093)](https://attack.mitre.org/groups/G0093/) - [Unit 42 - PingPull: GALLIUM Expands Targeting](https://unit42.paloaltonetworks.com/pingpull-gallium/) - [SentinelLabs - Operation Tainted Love](https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks/) - [BrandDefense - Inside GALLIUM: China's Expanding Telecom Espionage Apparatus (2025)](https://brandefense.io/blog/gallium-apt-2025/) - [Cybereason - Operation Soft Cell](https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers)