g0103-mofang - RunkIntel

# Mofang > [!high] APT Chinês com Técnica de Mimicry de Infraestrutura - Foco em Contratos Estratégicos > **Mofang** (模仿, "imitar" em mandarim) é um grupo de espionagem cibernética provavelmente patrocinado pelo Estado chinês, notável pela prática sistemática de **imitar a infraestrutura legítima das vítimas** para criar servidores C2 que parecem pertencer à organização alvo. Descoberto pela Fox-IT em maio de 2016, o grupo conduz uma métodologia de ataque em 3 fases com dois malwares complementares - o **ShimRatReporter** para reconhecimento e o **ShimRat** para comprometimento principal. O foco documentado mais detalhado envolve espionagem econômica ligada a contratos de zonas econômicas especiais em Myanmar. ## Visão Geral O Mofang foi identificado e documentado pela empresa de segurança holandesa Fox-IT em maio de 2016, após análise de uma série de campanhas direcionadas a entidades governamentais e do setor privado em Myanmar. O nome do grupo - tanto a designação dos pesquisadores quanto possívelmente a auto-denominação - vem do mandarim 模仿 (mófang), que significa "imitar" ou "simular". Esta nomenclatura reflete a técnica central do grupo: criar infraestrutura de comando e controle que imita domínios e servidores legítimos da própria vítima, tornando o tráfego C2 indistinguível de comúnicações normais para soluções de segurança que não inspecionam o conteúdo. A campanha mais documentada do Mofang envolve alvos no **setor de defesa e governo de Myanmar**, com timing que coincide precisamente com disputas entre a China National Petroleum Corporation (CNPC) e a CITIC Group por contratos na **Zona Econômica Especial de Kyaukphyu** - um porto estratégico em acesso ao Oceano Índico crucial para a Iniciativa Cinturão e Rota (BRI). A coincidência temporal entre as campanhas de espionagem e as negociações de contratos sugere missão de inteligência econômica e política de alto valor. A **métodologia de ataque em 3 fases** é técnicamente coerente e revela planejamento operacional sofisticado. Na primeira fase, o [[s0445-shimratreporter|ShimRatReporter]] é implantado para conduzir reconhecimento detalhado do ambiente da vítima - inventariando software instalado, configurações de rede, processos ativos e dados sobre a organização. Esta inteligência é exfiltrada antes de qualquer comprometimento adicional. Na segunda fase, o grupo usa as informações coletadas para construir infraestrutura que imita exatamente a da vítima. Na terceira fase, o [[s0444-shimrat|ShimRat]] é implantado como backdoor principal para acesso persistente e coleta de inteligência de longo prazo. Além de Myanmar, o grupo foi documentado com alvos em **India, Alemanha, Canadá, Singapura, Coreia do Sul e Estados Unidos** - uma extensão geográfica que indica tanto a amplitude do mandato de inteligência quanto a possibilidade de múltiplas campanhas paralelas com diferentes objetivos estratégicos. O setor automotivo alemão e a indústria de defesa indiana foram identificados como alvos de perfil compatível com interesse em propriedade intelectual industrial de alto valor. **Características operacionais:** - Infrastructure mimicry como técnica central de evasão - criação de C2 que imita infraestrutura da vítima - Métodologia em 3 fases: reconhecimento com ShimRatReporter antes de implantar ShimRat - Foco em espionagem econômica ligada a contratos estratégicos e zona BRI - Arsenal enxuto de dois malwares complementares com papéis distintos ## Métodologia - 3 Fases de Ataque ```mermaid graph TB A["Fase 1 - Reconhecimento Spearphishing inicial T1566.001 ou T1566.002"] --> B["ShimRatReporter Inventário do ambiente Software, rede, processos"] B --> C["Exfiltração de Reconhecimento Dados enviados ao C2 Análise pelo operador"] C --> D["Fase 2 - Mimicry Infra imitando a vítima Domínios e servidores clonados"] D --> E["Fase 3 - Comprometimento ShimRat implantado Backdoor persistente"] E --> F["Coleta de Inteligência Documentos e dados Exfiltração de longo prazo"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff ``` ## Linha do Tempo ```mermaid timeline title Mofang - Cronologia de Operacoes 2012 : Primeiras operacoes documentadas : Foco inicial Myanmar 2014-2015 : Campanha Kyaukphyu SEZ : Espionagem sobre contratos BRI : Expansão India e Alemanha 2016 : Fox-IT publica relatório : Grupo nomeado Mofang : Arsenal completo documentado 2017-2025 : Operacoes continuadas : Baixo perfil público : Foco Sudeste Asiático mantido ``` ## Arsenal Técnico | Ferramenta | Categoria | Função e Características | |-----------|-----------|------------------------| | [[s0445-shimratreporter\|ShimRatReporter]] | Ferramenta de reconhecimento | Coleta inventário de sistema - software, processos, configurações de rede; exfiltra dados antes do comprometimento principal | | [[s0444-shimrat\|ShimRat]] | Backdoor | Acesso persistente; execução remota de comandos; upload e download de arquivos; nomeado pela técnica de shimming em DLLs | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | E-mails de spear-phishing com documentos armados para alvos em Myanmar e outros países | | Initial Access | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links maliciosos em e-mails direcionados | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Vítima abre documento ou executável armado | | Execution | Malicious Link | [[t1204-001-malicious-link\|T1204.001]] | Vítima clica em link que entrega payload | | Defense Evasion | Encrypted/Encoded File | [[t1027-013-encryptedencoded-file\|T1027.013]] | Payloads ofuscados para evasão de AV | | Defense Evasion | Compression | [[t1027-015-compression\|T1027.015]] | Compressão para ocultar conteúdo do payload | | Resource Development | Virtual Private Server | [[t1583-003-virtual-private-server\|T1583.003]] | VPS para infraestrutura que imita a da vítima | ## Relevância para o Brasil e LATAM > [!low] Foco Regional Sudeste Asiático - Arsenal Relevante para Defesa > O Mofang mantém foco operacional documentado principalmente em Myanmar e Sudeste Asiático, com extensão a potências industriais (Alemanha, Coreia do Sul). Não há histórico documentado de operações contra o Brasil ou LATAM. O valor desta nota para analistas brasileiros é técnico: a técnica de mimicry de infraestrutura é amplamente replicável e a métodologia em 3 fases é um modelo de ameaça sofisticado relevante para defesa. Para organizações brasileiras, os pontos relevantes do Mofang são: 1. **Técnica de infrastructure mimicry**: o padrão de criar servidores C2 que imitam a infraestrutura da própria vítima (mesmo domínio, certificados similares) é transferível para qualquer contexto - detectar este tipo de mimicry requer inspeção de conteúdo e não apenas análise de reputação de domínio 2. **Fase de reconhecimento dedicada**: o uso de um malware separado (ShimRatReporter) apenas para reconhecimento antes de implantar o backdoor principal é padrão de operadores sofisticados - defesa requer detecção de beaconing leve antes do comprometimento principal 3. **Espionagem econômica ligada a contratos BRI**: empresas brasileiras envolvidas em negociações de infraestrutura com empresas chinesas (ferrovias, portos, telecomúnicações) são perfil de interesse para grupos com mandato de inteligência econômica similar ao Mofang ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | ShimRatReporter - processo coletando inventário de sistema sem interface | T1204.002 | EDR behavioral - alertar em enumeração de sistema por processo não esperado | | Domínio C2 com nome similar ao domínio corporativo (mimicry) | T1583.003 | Monitorar resoluções DNS para domínios "quase iguais" aos corporativos | | ShimRat - DLL shimming em aplicativo legítimo | T1204.002 | EDR - alertar em carregamento de DLL de caminho não padrão | | Documento Office com link externo executando payload | T1566.001 | Sandbox de e-mail; Protected View obrigatório | **Mitigações prioritárias:** Monitoramento de DNS ([[m1031-network-intrusion-prevention|M1031]]), sandboxing de documentos externos ([[m1049-antivirus-antimalware|M1049]]) e EDR comportamental para detecção de reconhecimento ([[m1057-data-loss-prevention|M1057]]). ## Referências - [1](https://attack.mitre.org/groups/G0103/) MITRE ATT&CK - Mofang (G0103) - [2](https://www.fox-it.com/en/news/whitepapers/mofang-a-politically-motivated-information-stealing-adversary/) Fox-IT - Mofang: A Politically Motivated Information Stealing Adversary (2016) - [3](https://malpedia.caad.fkie.fraunhofer.de/actor/mofang) Malpedia - Mofang Actor Profile - [4](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Mofang) ETDA Threat Group Cards - Mofang **Malware:** [[s0444-shimrat|ShimRat]] · [[s0445-shimratreporter|ShimRatReporter]] **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1566-002-spearphishing-link|T1566.002]] · [[t1583-003-virtual-private-server|T1583.003]] **Setores:** [[government|Governo]] · [[defense|Defesa]] · [[technology|Tecnologia]] **Relacionados:** [[g0096-apt41|APT41]] · [[g0129-mustang-panda|Mustang Panda]] · [[g0013-apt30|APT30]]