# Gangnam Industrial Style > [!danger] APT Norte-Coreano — Espionagem Industrial > **Gangnam Industrial Style** (MITRE G0102) é uma campanha de espionagem industrial atribuída ao [[lazarus-group|Lazarus Group]] norte-coreano, voltada para o roubo de propriedade intelectual de empresas de manufatura avançada, energia e tecnologia — especialmente aço, chemicals e engenharia industrial. ## Visão Geral Gangnam Industrial Style (nome dado pela CyCraft em referência ao hit pop sul-coreano) é uma campanha de espionagem industrial conduzida pelo Lazarus Group da Coreia do Norte, ativa entre 2018 e 2020. A campanha focou em roubo de projetos industriais, esquemas de processos e propriedade intelectual de empresas de manufatura avançada — setores estratégicos para a modernização industrial norte-coreana. A campanha foi descoberta pela empresa taiwanesa CyCraft após a investigação de múltiplos incidentes em empresas industriais no Japão, Coreia do Sul e Taiwan. Os alvos incluíam fabricantes de aço, empresas de energia e fornecedores de componentes para a indústria de semicondutores e eletrônica avançada. O grupo usou spear phishing temático com assuntos de RH e recrutamento (alinhado com a Operation DreamJob do Lazarus), seguido de instalação de backdoors customizados para exfiltração de longo prazo de documentação técnica, CAD files e específicações de processos industriais. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nLinkedIn Industrial\nEngenheiros manufatura] --> B[Spear Phishing\nFalsas ofertas de emprego\nTemática industrial] B --> C[Execução\nBackdoor customizado\nPersistência longa] C --> D[Exfiltração\nCAD files\nDocumentação de processos] D --> E[Impacto\nPropriedade intelectual\nVantagem industrial DPRK] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | Ofertas de emprego falsas para engenheiros | | PowerShell | [[t1059-command-and-scripting-interpreter\|T1059]] | Loaders e backdoors de persistência | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais roubadas de engenheiros | | Deploy de Ferramentas | [[t1105-ingress-tool-transfer\|T1105]] | Backdoors customizados Lazarus | ## Detecção e Defesa - Monitorar exfiltração de arquivos CAD e documentação técnica em larga escala - Implementar DLP para proteção de propriedade intelectual industrial - Verificar identidade de recrutadores que contatam engenheiros via LinkedIn - Aplicar [[m1049-antivirus-antimalware|M1049]] com detecção comportamental de exfiltração - Segregar redes de engenharia e CAD do ambiente corporativo geral ## Referências - MITRE ATT&CK: [Gangnam Industrial Style G0102](https://attack.mitre.org/groups/G0102/) - CyCraft: Operation Gangnam Industrial Style analysis (2020) - Lazarus Group: [[lazarus-group|Perfil completo]] - Trend Micro: Lazarus industrial espionage campaigns (2019)