g0114-chimera - RunkIntel

# Chimera (Tumbleweed Typhoon) > [!warning] Espionagem Industrial Chinesa - Setor de Semicondutores > O Chimera é um dos poucos APTs com foco documentado exclusivo em **roubo de propriedade intelectual do setor de semicondutores** - fonte code de chips, SDKs, projetos IC. Comprometeu mais de 7 fabricantes no Parque Industrial Hsinchu (Taiwan) entre 2018-2019 e ficou 2 anos dentro da NXP (Holanda) sem ser detectado. ## Visão Geral O **Chimera** (rastreado pela Microsoft como **Tumbleweed Typhoon**, pela SecureWorks como **Bronze Vapor**, pela PwC como **Red Charon** e pela Microsoft anteriormente como **THORIUM**) é um grupo de espionagem industrial chinês ativo desde pelo menos 2017. O grupo tem especialização única: **roubo sistemático de propriedade intelectual do setor de semicondutores e aviação civil**. Descoberto públicamente pela CyCraft em 2020 via *Operation Skeleton Key* (e apresentado na Black Hat USA 2020), o Chimera comprometeu **mais de 7 fabricantes de semicondutores** no Parque Científico de Hsinchu, Taiwan - o coração da indústria global de chips. O objetivo é direto: roubar designs de CI (circuitos integrados), SDKs, source code de projetos de chips - propriedade intelectual avaliada em bilhões de dólares. A técnica que define o grupo é o **abuso de infraestrutura cloud legítima como C2**: o Cobalt Strike se disfarça de `GoogleUpdaté.exe` e se comúnica com servidores no **Google App Engine, Azure CDN e outras plataformas cloud** - tornando o tráfego malicioso indistinguível de atualizações legítimas do Google Chrome. **Também conhecido como:** Tumbleweed Typhoon, Bronze Vapor, Red Charon, THORIUM, Nuclear Taurus, G0114 ## Attack Flow - Espionagem Industrial em Semicondutores ```mermaid graph TB A["🔑 Acesso Inicial Credenciais via phishing ou vazamentos de dados"] --> B["💻 Cobalt Strike Deploy Disfarçado de GoogleUpdaté.exe T1036 Masquerading"] B --> C["☁️ C2 via Cloud Legítima Google App Engine / Azure T1071.001 Evasão de firewall"] C --> D["🔍 Reconhecimento AD BloodHound - Domain Trust T1482 + T1087.002"] D --> E["🔐 SkeletonKeyInjector T1556.001 DC Auth Bypass Golden ticket para LM livre"] E --> F["📦 Coleta de IP Source code + SDK + docs IC T1074.002 Remote Staging"] F --> G["📤 Exfiltração T1041 C2 Channel T1560 Archive + Compress"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef cs fill:#e74c3c,color:#fff,stroke:#c0392b classDef cloud fill:#1a5276,color:#fff,stroke:#154360 classDef recon fill:#2471a3,color:#fff,stroke:#1a5276 classDef skel fill:#8e44ad,color:#fff,stroke:#6c3483 classDef collect fill:#e67e22,color:#fff,stroke:#d35400 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A access class B cs class C cloud class D recon class E skel class F collect class G exfil ``` > [!info] Google Cloud como C2 - Detecção Extremamente Difícil > O Chimera hospeda seus C2 no Google App Engine e Azure CDN - domínios como `*.appspot.com` e `*.azureedge.net`. Esses domínios são listas brancas em práticamente todos os firewalls corporativos. O tráfego HTTPS para esses endereços parece ser atualização legítima do Chrome ou Microsoft. A detecção requer análise comportamental de processos (não de rede): monitorar `GoogleUpdaté.exe` fazendo chamadas de API incomuns. ## Operações Documentadas ### Operation Skeleton Key (2018-2019) - Taiwan A campanha mais documentada do Chimera: - **Alvo**: 7+ fabricantes de semicondutores no Parque Científico de Hsinchu (HSP), Taiwan - **Entrada**: credenciais roubadas via phishing ou vazamentos anteriores - **Ferramenta central**: Cobalt Strike com beacon disfarçado de `GoogleUpdaté.exe` - **Técnica de persistência**: `SkeletonKeyInjector` - injeta chave mestre no Domain Controller, permitindo login com qualquer senha via NTLM - **Objetivos roubados**: designs de chips IC, SDKs, source code de projetos de semicondutores - **Impacto**: TSMC (empresa separada, ataque similar no período) teve dano de USD 256 milhões após parada de plantas ### NXP Hack (2017-2019) - Holanda Uma das operações mais longas documentadas para qualquer APT: - **Alvo**: NXP Semiconductors - maior fabricante de chips da Europa, fornecedor de iPhone (chips NFC) e automóveis - **Duração**: mais de 2 anos de acesso persistente (2017 até final 2019) - **Dados roubados**: designs de chips para smartphones, automóveis, cartões de pagamento - **Detecção**: identificado pela Fox-IT e NCC Group apenas em outubro 2019 - **Publicação**: Ars Technica reportou em novembro 2023 após processo judicial relacionado - **Impacto estratégico**: designs de chips que equipam bilhões de dispositivos comprometidos ### Operações de Aviação (2019-2021) - Fox-IT Além de semicondutores, o Fox-IT documentou campanhas do Chimera contra **companhias aéreas**: - Roubo de dados de passageiros (PII em escala) - Acesso a sistemas de reservas - Potencial interesse em movimentação de pessoas de interesse ## Arsenal Técnico ```mermaid graph TB A["Chimera Arsenal Ferramentas customizadas + open source"] --> B["Cobalt Strike RAT principal GoogleUpdaté.exe"] A --> C["SkeletonKeyInjector Malware customizado DC bypass"] A --> D["BloodHound Mapeamento AD Open source"] A --> E["Dumpert + Mimikatz Credential dumping LSASS + SAM"] B --> F["C2 Cloud Google App Engine Azure CDN"] C --> G["Lateral Movement Pass-the-Hash WinRM + SMB"] style A fill:#c0392b,color:#fff style B fill:#e74c3c,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#e67e22,color:#fff style F fill:#196f3d,color:#fff style G fill:#2471a3,color:#fff ``` ### SkeletonKeyInjector - Análise O `SkeletonKeyInjector` é o malware customizado mais significativo do Chimera: - Injeta uma **chave mestre** no processo `lsass.exe` do Domain Controller - Permite autenticação com qualquer senha (a senha original continua funcionando) - Proporciona acesso persistente a TODOS os sistemas do domínio - Sobrevive a resets de senha individuais - apenas reboot do DC remove - Técnica classificada como T1556.001 (Modify Authentication Process: Domain Controller Authentication) - Detectável por: monitoramento de patching de LSASS, integridade de processos DC ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais phishing/breach como ponto de entrada | | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Persistência e execução remota via schtasks | | Pass the Hash | [[t1550-002-pass-the-hash\|T1550.002]] | Lateral movement sem senha em texto claro | | Domain Controller Auth | [[t1556-001-domain-controller-authentication\|T1556.001]] | SkeletonKeyInjector em lsass.exe do DC | | Domain Trust Discovery | [[t1482-domain-trust-discovery\|T1482]] | BloodHound para mapear paths de ataque | | Remote Data Staging | [[t1074-002-remote-data-staging\|T1074.002]] | Preparação de dados para exfiltração | | Archive via Utility | [[t1560-001-archive-via-utility\|T1560.001]] | Compressão antes de exfiltração | | Clear Windows Event Logs | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Remoção de artefatos pós-exfiltração | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTPS para Google App Engine/Azure | ## Relevância para o Brasil e LATAM > [!info] Risco para Setor Industrial Brasileiro e Parceiros Internacionais > O Chimera foca em Taiwan e Europa. Não há campanhas documentadas contra o Brasil. Porém, empresas brasileiras com parcerias tecnológicas com fabricantes de semicondutores taiwanese ou europeias podem ser vetores de comprometimento lateral. Aspectos relevantes para o Brasil: 1. **Cadeia de fornecimento tecnológica**: Empresas brasileiras que adquirem chips, SDKs ou soluções de semicondutores de fornecedores taiwanese comprometidos podem receber componentes com backdoors. A supply chain de chips é global. 2. **Embraer e aviação**: A documentação de campanhas do Chimera contra aviação (dados de passageiros, sistemas de reservas) é diretamente relevante para a Embraer, ANAC e companhias aéreas brasileiras como LATAM e Gol. 3. **Técnica de C2 em Cloud**: O modelo de hospedar C2 em Google App Engine e Azure é **replicável por qualquer grupo** e crescentemente adotado por atores menos sofisticados que observaram o sucesso do Chimera. Organizações brasileiras que dependem de listas brancas de domínios para segurança estão expostas. 4. **SkeletonKey replicável**: O conceito de Skeleton Key em Domain Controller é uma técnica documentada - qualquer ator com acesso ao DC pode implantá-la. SOCs brasileiros devem monitorar integridade de LSASS em DCs. ## Detecção e Mitigação - Monitorar processos com nome `GoogleUpdaté.exe` ou similar fazendo conexões HTTPS para `*.appspot.com` ou `*.azureedge.net` - Alertar para `lsass.exe` sendo modificado por processos não autorizados (SkeletonKey indicator) - Implementar monitoramento de BloodHound e similares - queries LDAP anômalas de volume alto - Desabilitar WinRM onde não necessário; monitorar conexões SMB Admin Share para hosts fora do padrão - Alertar para `schtasks` criadas por contas de domínio privilegiadas fora de jánelas de manutenção - Implementar EDR com detecção de process injection (Cobalt Strike) em endpoints críticos de P&D ## Referências - [1](https://i.blackhat.com/USA-20/Thursday/us-20-Chen-Operation-Chimera-APT-Operation-Targets-Semiconductor-Vendors-wp.pdf) CyCraft - Chimera APT Threat Report: Operation Skeleton Key (2020) - [2](https://blog.fox-it.com/2021/01/12/abusing-cloud-services-to-fly-under-the-radar/) Fox-IT/NCC Group - Abusing Cloud Services to Fly Under the Radar (2021) - [3](https://arstechnica.com/security/2023/11/hackers-spent-2-years-looting-secrets-of-chipmaker-nxp-before-being-detected/) Ars Technica - Hackers Spent 2 Years Looting Secrets of Chipmaker NXP (2023) - [4](https://attack.mitre.org/groups/G0114/) MITRE ATT&CK - Chimera G0114 (2025) - [5](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Chimera) ETDA Thailand - Chimera Threat Group Card (2025) - [6](https://cycraft.com/download/%5BTLP-White%5D20200415%20Chimera_V4.1.pdf) CyCraft - Operation Skeleton Key TLP:White Report V4.1 (2020)