g0098-blacktech - RunkIntel

# BlackTech ## Visão Geral **BlackTech** (MITRE G0098), também rastreado como **Palmerworm**, **Circuit Panda** e **MANGA**, e um grupo de ciberespionagem com alta confiança de atribuicao a **contratantes do governo chines**. Ativo desde pelo menos **2010**, o grupo opera com foco geografico no **Leste Asiatico** - principalmente Taiwan, Jápao e Hong Kong - com extensoes para os EUA e Filipinas. O que distingue o BlackTech de outros grupos chineses e sua capacidade técnica **singular e documentada**: em setembro de **2023**, uma **advisory conjunta** da NSA, FBI, CISA (EUA), NISC e NPA (Jápao) revelou que o grupo e capaz de **modificar firmware de roteadores Cisco** para instalar backdoors SSH persistentes - uma técnica que permite ao grupo pivotar de subsidiarias internacionais para sedes corporativas em outros paises, abusando de relacionamentos de confiança entre redes corporativas. O grupo tem um **arsenal imenso de malware customizado** - mais de 12 familias documentadas - com atualização regular de ferramentas para evadir detecção. O [[s0574-bendybear|BendyBear]] (2021), um shellcode polimorfoco altamente evasivo, foi descrito pelo Unit 42 como o malware **mais sofisticado** já associado a um grupo de ameaça ligado a China. > [!danger] Firmware de Roteador como Arma > A técnica de modificacao de firmware Cisco - documentada em advisory conjunta NSA/FBI/CISA/NPA/NISC de setembro 2023 - representa uma **escalada significativa** na sofisticacao de APTs. Uma vez comprometido o firmware do roteador de uma subsidiaria, o grupo pode operar como se estivesse dentro da rede corporativa da sede - completamente invisivel para soluções de segurança tradicionais. ## Atribuicao | Atributo | Detalhe | |---------|---------| | Origem | China - contratantes governo, possível nexo MSS | | Foco geografico | Taiwan, Jápao, Hong Kong, EUA, Filipinas | | Advisory governamental | NSA/FBI/CISA/NPA/NISC - setembro 2023 | | Aliases principais | Palmerworm (Symantec), Circuit Panda (CrowdStrike), MANGA/HUAPI (Trend Micro) | | Status operacional | Ativo - campanhas documentadas até 2024-2025 | ## Attack Flow - Ataque via Subsidiaria ```mermaid graph TB A["Acesso Inicial Spearphishing subsidiaria ou exploit servico remoto"] --> B["Comprometimento Subsidiaria TSCookie/PLEAD instalado Certificados roubados para assinar"] B --> C["Modificacao Firmware Cisco router da subsidiaria Backdoor SSH instalado"] C --> D["Pivot para Sede Relacao de confianca rede Acesso transparente via VPN"] D --> E["Espionagem de Longa Duracao WaterBear exfiltração stealth Flagpro C2 via servicos cloud"] E --> F["Exfiltração Persistente IconDown download de stage 2 Dados IP e segredos corporativos"] style A fill:#1a3a5c,color:#fff style B fill:#c0392b,color:#fff style C fill:#8e44ad,color:#fff style D fill:#d68910,color:#fff style E fill:#2c5282,color:#fff style F fill:#196f3d,color:#fff ``` ## Arsenal Tecnico ### BendyBear - O Mais Sofisticado O [[s0574-bendybear|BendyBear]] e um shellcode polimorfoco x64 que representa o pico tecnico do arsenal do BlackTech. Caracteristicas: - **Polimorfismo**: cada execução gera código diferente para evadir assinaturas AV/EDR - **Tamanho compacto**: apenas 10KB de shellcode - reducao de superficie de detecção - **Comúnicação C2 customizada**: protocolo proprio sobre TCP porta 443 (similar a HTTPS mas nao SSL) - **Anti-análise**: detecta sandboxes e ambientes de debug; interrompe execução se detectado ### WaterBear - Backdoor Modular O [[s0579-waterbear|Waterbear]] e o backdoor primario de longo prazo do BlackTech - em desenvolvimento desde **2009**. Versoes recentes (2021+) usam **injecao de código em processo legitimo** (ex: processo antivirus) para ocultar atividade. Comúnicação C2 cifrada com protocolo customizado. ### TSCookie / FakeDead O [[s0436-tscookie|TSCookie]] (também chamado FakeDead) e um loader que decomprime e executa payloads em memoria, sem tocar disco - caracteristica **fileless** que dificulta forensica. Usado extensivamente contra alvos jáponeses. ### Flagpro - Comúnicação via Servicos Cloud O [[s0696-flagpro|Flagpro]] usa **Microsoft Teams e email** para comunicação C2 - abusa de APIs de servicos legitimos para misturar trafego malicioso com trafego corporativo normal. ## Diagrama de Arsenal ```mermaid graph TB subgraph "Acesso Inicial" A1["PLEAD Backdoor initial access"] A2["Kivars Backdoor 32/64-bit"] end subgraph "Persistência e C2" P1["WaterBear Backdoor modular 2009+"] P2["Flagpro C2 via Teams/email"] P3["TSCookie/FakeDead Loader fileless"] end subgraph "Capacidade Avancada" C1["BendyBear Shellcode polimorfoco"] C2["Bifrose RAT com rootkit"] C3["IconDown Downloader stealth"] C4["SpiderPig/Spring/Stack Familia implants 2022+"] end subgraph "Infraestrutura" I1["Cisco Router Firmware SSH backdoor persistente"] I2["Certificados Roubados Code signing evasão"] end A1 --> P1 A2 --> P2 P3 --> C1 I1 --> P1 I2 --> A1 ``` ## Técnica Exclusiva - Firmware de Roteador Cisco A advisory conjunta de setembro 2023 (NSA/FBI/CISA + Jápao NISC/NPA) documentou em detalhe o método operacional: 1. **Comprometer subsidiaria**: spearphishing ou exploit de servico público 2. **Instalar malware customizado** no roteador da subsidiaria (Cisco IOS com funcionalidade de debug habilitada) 3. **Modificar imagem de firmware**: substituir ou patchar o firmware com versao customizada que contem backdoor SSH 4. **Desabilitar verificação de integridade**: o firmware modificado desabilita a verificação criptografica da Cisco 5. **Acesso via SSH backdoor**: credenciais conhecidas apenas pelo grupo; invisivel no log de autenticação padrao 6. **Pivot para sede**: através da relacao de confiança VPN/rede entre subsidiaria e sede **Impacto**: qualquer organização com subsidiaria no Leste Asiatico que usa Cisco e tem VPN de site-to-site para sede e potencialmente vulnerável a este vetor. ## Campanhas e Atividade Recente | Período | Campanha/Atividade | Alvos | Ferramentas | |---------|-------------------|-------|------------| | 2010-2013 | Campanhas iniciais Taiwan | Governo, defesa, eletronica | PLEAD, Kivars | | 2014-2015 | Operation Shrouded Crossbow | Taiwan, Hong Kong | BIFROSE, KIVARS atualizados | | 2019 | Expansao para Filipinas | Setor financeiro e telecom | WaterBear evolução | | 2020-2021 | BendyBear discovery | Taiwan, Jápao, EUA | BendyBear (primeira vez detectado) | | 2021-2022 | FlagPro campaigns | Jápao - defesa e industria | Flagpro (novo) | | 2022-2023 | SpiderPig/Spring/Stack | Taiwan, Filipinas | Nova familia implants | | 2023 | Firmware exploit documentado | Subsidiarias multinacionais | Advisory NSA/CISA | | 2024-2025 | Operacoes continuadas | Taiwan, Jápao, Filipinas | Arsenal completo | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1588-003-code-signing-certificates|T1588.003 - Code Signing Certificates]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1021-004-ssh|T1021.004 - SSH]] - [[t1106-native-api|T1106 - Native API]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1036-002-right-to-left-override|T1036.002 - Right-to-Left Override]] - [[t1574-001-dll|T1574.001 - DLL Sideloading]] - [[t1588-004-digital-certificates|T1588.004 - Digital Certificates]] - [[t1542-004-rommonkit|T1542.004 - ROMMONkit]] - [[t1601-001-patch-system-image|T1601.001 - Patch System Image]] ## Software Utilizado - [[s0435-plead|PLEAD]] - [[s0437-kivars|Kivars]] - [[s0436-tscookie|TSCookie]] - [[s0696-flagpro|Flagpro]] - [[s0579-waterbear|Waterbear]] - [[s0574-bendybear|BendyBear]] - [[bifrose|Bifrose]] - [[icondown|IconDown]] - [[spiderpig|SpiderPig]] ## Relevância para o Brasil e LATAM > [!warning] Risco Moderado - Via Subsidiarias em Leste Asiatico > O BlackTech representa risco **indireto mas real** para empresas brasileiras. O vetor de firmware de roteador Cisco funciona específicamente quando a organização tem subsidiaria ou joint venture em Taiwan, Jápao ou Filipinas com conectividade VPN para sede. **Vetores de risco para o Brasil:** - **Empresas brasileiras com operações no Leste Asiatico**: a técnica de firmware de roteador e específicamente projetada para pivotar de subsidiaria para sede - qualquer empresa brasileira com operações em Taiwan, Jápao ou Filipinas e potencial alvo - **Setor de tecnologia e eletronico**: a cadeia de fornecimento de eletronica frequentemente envolve parceiros taiwaneses e jáponeses; contato regular via email/sistemas compartilhados cria superficie de ataque - **Spearphishing com certificados roubados**: emails com anexos assinados por certificados legitimos roubados de empresas taiwanesas sao extremamente convincentes - nenhum filtro antivirus padrao detecta - **Flagpro via Microsoft Teams**: organizacoes brasileiras que usam Teams para comunicação com parceiros asiaticos podem ter C2 misturado ao trafego legitimo **Medida mais critica**: auditar firmware de todos os roteadores Cisco em perimetro de subsidiarias e verificar integridade de imagem contra hashes oficiais Cisco. ## Referências - [MITRE ATT&CK - BlackTech (G0098)](https://attack.mitre.org/groups/G0098/) - [NSA/CISA/FBI/NPA/NISC - Advisory BlackTech Cisco Router (September 2023)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a) - [Unit 42 - BendyBear: Novel Chinese Shellcode (2021)](https://unit42.paloaltonetworks.com/bendybear-shellcode/) - [Trend Micro - BlackTech FlagPro (2021)](https://www.trendmicro.com/) - [Symantec - Palmerworm: Espionage Gang Targets Multiple Sectors (2020)](https://symantec-enterprise-blogs.security.com/) - [JPCERT/CC - WaterBear Analysis](https://www.jpcert.or.jp/)