# APT31 > [!high] Grupo de espionagem chinês vinculado ao Ministério de Segurança do Estado > APT31 é um ator de ameaça com nexo na China, atribuído ao Ministério de Segurança do Estado (MSS), especializado em espionagem política, roubo de propriedade intelectual e interferência eleitoral. Em março de 2024, o Departamento de Justiça dos EUA indiciou sete hackers associados ao grupo por intrusões globais abrangendo mais de uma década de operações. > [!latam] Relevância para o Brasil e América Latina > O APT31 não tem histórico documentado na América Latina, mas o Brasil apresenta perfis de risco relevantes: entidades do Itamaraty e do setor governamental com relações diplomáticas com a China, organizações de direitos humanos com vínculos internacionais, empresas de tecnologia com propriedade intelectual estratégica e órgãos eleitorais como o TSE. O spear-phishing altamente personalizado do grupo é facilmente adaptável ao contexto brasileiro. ## Visão Geral O **APT31**, também rastreado como **Zirconium**, **Judgment Panda**, **Bronze Vinewood** e **Violet Typhoon**, é um grupo de espionagem cibernética patrocinado pelo Estado chinês, atribuído ao **Ministério de Segurança do Estado (MSS)** da República Popular da China. Registrado no MITRE ATT&CK como **G0128**, o grupo está ativo desde pelo menos 2016 e conduziu operações de inteligência em mais de uma dezena de países. A principal motivação do APT31 é a coleta estratégica de inteligência em suporte às ambições geopolíticas do PCC: espionagem política, obtenção de propriedade intelectual, vigilância de dissidentes e interferência em processos eleitorais democráticos ocidentais. O grupo é particularmente ativo contra entidades ligadas a questões de Hong Kong, críticos do governo chinês e candidatos políticos em países adversários. Um marco definitivo na história do grupo foi a **indiciação de sete hackers pelo DOJ em março de 2024**, revelando como o APT31 operou por anos utilizando redes ORB (Operational Relay Box) para mascarar infraestrutura e evitar atribuição. A indiciação cobriu operações contra empresas de pesquisa eleitoral nos EUA, parlamentares da Finlândia, legisladores pró-democracia de Hong Kong e dissidentes chineses em múltiplos países. Para o Brasil e a América Latina, o APT31 não possui histórico documentado de operações diretas. Contudo, o grupo representa risco relevante para organizações com presença diplomática junto à China, pesquisadores de direitos humanos e entidades governamentais que possam possuir inteligência de interesse estratégico para Pequim. ## TTPs Principais | Tática | Técnica | ID MITRE | Descrição | |--------|---------|----------|-----------| | Acesso Inicial | Spear-phishing | T1566.001 | E-mails direcionados a alvos Gmail, campanhas eleitorais | | Acesso Inicial | Valid Accounts | T1078 | Abuso de credenciais comprometidas | | Persistência | RAT Implantation | T1543 | Implantação de PlugX, SOGU, 9002 RAT | | Evasão | ORB Networks | T1090 | Roteamento de tráfego via redes de relay operacionais | | Coleta | Email Collection | T1114 | Exfiltração de caixas de e-mail de alvos políticos | | C2 | Application Layer | T1071 | Comúnicações via protocolos de aplicação legítimos | | Reconhecimento | Pixel Tracking | T1598 | Rastreamento de abertura de e-mails via pixels invisíveis | ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento<br/>Pesquisa de alvos políticos<br/>Pixel tracking por e-mail"] --> B["📧 Acesso Inicial<br/>Spear-phishing Gmail<br/>Documentos maliciosos"] B --> C["💾 Execução e Persistência<br/>PlugX / SOGU / 9002 RAT<br/>China Chopper webshell"] C --> D["🌐 Evasão via ORB<br/>Roteamento por redes<br/>de relay operacionais"] D --> E["📬 Coleta de Inteligência<br/>E-mails, documentos<br/>classificados, dados eleitorais"] E --> F["📤 Exfiltração<br/>Dados políticos, IP<br/>e inteligência de dissidentes"] classDef recon fill:#3498db,color:#ecf0f1 classDef access fill:#e74c3c,color:#ecf0f1 classDef persist fill:#9b59b6,color:#ecf0f1 classDef evasion fill:#2c3e50,color:#ecf0f1 classDef collect fill:#e67e22,color:#ecf0f1 classDef exfil fill:#e74c3c,color:#ecf0f1 class A recon class B access class C persist class D evasion class E collect class F exfil ``` ## Campanhas Notáveis ### Eleições dos EUA 2020 Em agosto de 2020, o APT31 conduziu operações de spear-phishing contra indivíduos ligados às campanhas presidenciais norte-americanas e contra empresas de pesquisa eleitoral. A operação visava obter inteligência sobre o processo democrático americano para benefício estratégico da China. ### Parlamento da Finlândia (2020) No outono de 2020, o APT31 comprometeu contas de e-mail de parlamentares finlandeses, expondo comúnicações legislativas internas. O incidente resultou em investigação criminal e foi atribuído públicamente pelo governo finlandês ao ator chinês. ### Rede de Dissidentes de Hong Kong O grupo manteve campanha persistente de vigilância contra ativistas pró-democracia de Hong Kong, legisladores e organizações de direitos humanos, utilizando spear-phishing altamente personalizado com temas relacionados às manifestações de 2019-2020. ### Operações Europeias (2021-2022) Em julho de 2021, operações foram documentadas contra organizações francesas; em 2022, contra o Ministério das Relações Exteriores tcheco. O grupo também comprometeu empresas de tecnologia russas — alvos incomuns para um ator chinês — sugerindo interesse em capacidades tecnológicas específicas. ### Indiciamento DOJ (Março 2024) Sete nacionais chineses foram indiciados pelo Departamento de Justiça dos EUA por participação nas operações do APT31. A acusação detalhou operações cobrindo mais de uma década, incluindo o uso de empresas de fachada para gerenciar infraestrutura e o desenvolvimento de ferramentas customizadas para evasão de detecção. ## Malware Utilizado | Malware | Tipo | Notas | |---------|------|-------| | [[plugx\|PlugX]] | RAT modular | Ferramenta icônica de atores chineses; múltiplas variantes | | [[sogu\|SOGU]] | RAT (variante PlugX) | Variante customizada utilizada pelo APT31 | | [[9002-rat\|9002 RAT]] | Backdoor | RAT histórico chinês usado em campanhas de espionagem | | [[china-chopper\|China Chopper]] | Webshell | Webshell de acesso persistente em servidores web | | [[gh0st-rat\|Gh0st RAT]] | RAT | Ferramenta de acesso remoto amplamente utilizada | | [[grewapacha\|GrewApacha]] | Backdoor | Ferramenta mais recente do arsenal do grupo | | [[hikit\|HiKit]] | Rootkit/Backdoor | Ferramenta de persistência avançada | ## Detecção e Defesa **Indicadores comportamentais a monitorar:** - Pixel tracking em e-mails corporativos de remetentes desconhecidos com links para domínios externos - Conexões de saída para infraestrutura de redes ORB (múltiplos saltos de relay) - Presença de webshells (China Chopper) em servidores Exchange ou OWA - Implantação de PlugX ou variantes via carregamento lateral de DLL **Mitigações recomendadas:** - Habilitar autenticação multifator (MFA) em todos os serviços de e-mail corporativo ([[m1032-multi-factor-authentication|M1032]]) - Bloquear pixels de rastreamento externos em clientes de e-mail - Monitorar acesso incomum a Exchange Web Services e PowerShell remoto - Aplicar segmentação de rede para limitar movimento lateral ([[m1030-network-segmentation|M1030]]) - Auditar autenticações de serviços Gmail e contas cloud com acesso a dados sensíveis ## Relevância LATAM O APT31 não possui histórico documentado de operações diretas na América Latina. Contudo, organizações brasileiras nos seguintes contextos devem avaliar o risco: - **Setor governamental**: Embaixadas, Itamaraty e entidades com relacionamento diplomático com a China - **Pesquisadores e ativistas**: Organizações de direitos humanos com vínculos internacionais - **Setor de tecnologia**: Empresas com propriedade intelectual de interesse estratégico - **Processos eleitorais**: Órgãos como TSE e partidos políticos com relevância geopolítica O modus operandi do APT31 de usar spear-phishing altamente personalizado e rastrear abertura de e-mails antes do ataque é facilmente replicável em contextos LATAM. ## Referências - [MITRE ATT&CK: G0128 - APT31](https://attack.mitre.org/groups/G0128/) - [DOJ Indiciamento - Março 2024](https://www.justice.gov/archives/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceived) - [Sekoia: APT31 Glossário](https://www.sekoia.io/en/glossary/apt31/) - [Harfanglab: APT31 Indictment Analysis](https://harfanglab.io/insidethelab/apt31-indictment-analysis/) - [Malpedia: APT31](https://malpedia.caad.fkie.fraunhofer.de/actor/apt31)