g0131-tonto-team - RunkIntel

# Tonto Team ## Visão Geral **Tonto Team** (MITRE G0131), rastreado como **Earth Akhlut**, **CactusPete** e **Karma Panda**, e um grupo de ciberespionagem **atribuido ao Exercito de Libertacao Popular (PLA) da China** - específicamente a **Unidade Militar 65016 de Shenyang**. Ativo desde **2009**, o grupo acumula mais de **15 anos de operações continuas** com foco primario na Coreia do Sul, Jápao, Russia e Mongolia. O Tonto Team e distintivo por dois aspectos operacionais notaveis. Primeiro, o uso do **Royal Road RTF builder** (também chamado 8.t Dropper) - uma ferramenta de arma de documentos RTF exploiting vulnerabilidades do Microsoft Equation Editor (CVE-2017-11882, CVE-2018-0802, CVE-2018-0798) - compartilhada por varios grupos chineses (Panda Emissary, APT27, Rancor, TA413). Segundo, o grupo e **único por atacar específicamente empresas de cibersegurança**: em 2021 e 2022, o grupo atacou o **Group-IB** (firma de threat intelligence russa) em dois incidents separados - uma escalada incomum que indica interesse em neutralizar capacidades defensivas adversarias. Em **2023**, a Kaspersky documentou campanhas contra **ministerios de governo da Russia** e **instalacoes industriais russas** - confirmando que o Tonto Team nao hesita em atacar outros estados aliados aparentes da China quando os interesses estratégicos demandam. > [!danger] Ataque a Empresas de Cibersegurança > O Tonto Team atacou o **Group-IB** (Russia) em 2021 e novamente em 2022 - demonstrando que empresas de segurança que rastreiam APTs chineses sao alvos de represalia. Esta e uma escalada raramente vista em outros grupos APT - indica nivel de agressividade operacional acima da media. ## Atribuicao | Atributo | Detalhe | |---------|---------| | Unidade PLA | Unidade Militar 65016 - Shenyang, Liaoning | | Mandato estratégico | Espionagem Nordeste Asiatico; Russia, Korea, Jápao | | Rastreamento Kaspersky | CactusPete | | Rastreamento ESET | Karma Panda | | Rastreamento Trend Micro | Earth Akhlut | | MITRE ID | G0131 | ## Attack Flow - Royal Road RTF Attack ```mermaid graph TB A["Spearphishing T1566.001 Documento RTF tema governo ou militar"] --> B["Explorar Equation Editor CVE-2017-11882 ou CVE-2018-0802 Microsoft Office sem patch"] B --> C["Dropper Bisonal Loader stage 1 - DLL sideloading processo legitimo como host"] C --> D["Bisonal.DoubleT C2 Backdoor customizado comúnicação DNS/HTTP"] D --> E["Credential Dumping Mimikatz, LaZagne gsecdump - hashes e plaintext"] E --> F["Movimento Lateral NBTscan - mapa de rede T1210 servicos remotos"] F --> G["Exfiltração Stealth T1090.002 proxy externo ShadowPad para accesso adicional"] style A fill:#1a3a5c,color:#fff style B fill:#c0392b,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2c5282,color:#fff style E fill:#d68910,color:#fff style F fill:#196f3d,color:#fff style G fill:#6c3483,color:#fff ``` ## Bisonal - Assinatura Técnica do Grupo O [[s0268-bisonal|Bisonal]] e o backdoor **exclusivo** do Tonto Team e funciona como o principal indicador tecnico de atribuicao. Em desenvolvimento continuo desde pelo menos **2010**, o Bisonal evoluiu por varias geracoes: - **Bisonal original**: RAT básico com capacidades de keylogging, upload/download, execução remota - **Bisonal.DoubleT** (2020+): versao refatorada com comunicação C2 mais robusta, suporte a múltiplos canais (DNS, HTTP, HTTPS) - **ShadowPad access**: em campanhas recentes, o Tonto Team tem acesso ao [[s0596-shadowpad|ShadowPad]] - arsenal compartilhado do ecosistema de APTs chineses - indicando possívelmente coordenacao com o Winnti Group ## Royal Road RTF Builder A ferramenta **Royal Road** (8.t Dropper) e um builder de documentos RTF maliciosos que automatiza a exploração das vulnerabilidades do Microsoft Equation Editor. Particularidade importante: esta ferramenta e **compartilhada** entre varios grupos chineses: - Tonto Team (Bisonal como payload) - APT27/Threat Group-3390 (HyperBro como payload) - TA413 (Sepulcher malware) - Rancor (PLAINTEE) - MuddyWater (vestigios) O compartilhamento da ferramenta de armamento mas manutenção de payloads distintos indica que os grupos **operam de forma independente** mas possívelmente compartilham um "digital quartermaster" chines que distribui ferramentas de intrucao. ## Diagrama de Arsenal e Compartilhamento ```mermaid graph TB subgraph "Arsenal Exclusivo Tonto Team" T1["Bisonal / Bisonal.DoubleT RAT primario - assinatura do grupo"] T2["QuickMute Downloader stealth"] T3["Gh0st RAT Variante customizada"] end subgraph "Arsenal Compartilhado Chines" S1["ShadowPad Backdoor modular premium"] S2["Royal Road RTF Builder arma documentos"] S3["Mimikatz / LaZagne Credential dumping"] end subgraph "Vulnerabilidades Primarias" V1["CVE-2017-11882 Equation Editor"] V2["CVE-2018-0802 Equation Editor"] V3["CVE-2021-26855 ProxyLogon Exchange"] end T1 --> S1 T2 --> S2 S2 --> V1 S2 --> V2 T1 --> V3 ``` ## Campanhas e Atividade Documentada | Período | Campanha | Alvos | Ferramenta | |---------|---------|-------|-----------| | 2009-2012 | Heartbeat Campaign | Korea do Sul - governo e militar | Bisonal inicial | | 2017 | Operation Bitter Biscuit | Korea, Jápao, India, Vietna | Bisonal atualizado | | 2018-2019 | Campanhas Russia e Mongolia | Governo russo, energia | Royal Road + Bisonal.DoubleT | | 2021 | Ataque Group-IB (1o vez) | Firma CTI russa - retaliacão | Bisonal + ShadowPad | | 2021-2022 | ProxyLogon exploitation | Exchange servers - Korea, Jápao | CVE-2021-26855 | | 2022 | Ataque Group-IB (2a vez) | Group-IB novamente | Bisonal renovado | | 2023 | Campanhas governo russo | Ministerios russos, industria | ShadowPad, Bisonal.DoubleT | | 2023 | Campanhas Asia Central | Paquistao, India, Bangladesh | Royal Road atualizado | | 2024-2025 | Operacoes continuas | Foco Korea, Jápao, Russia | Arsenal completo | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1574-001-dll|T1574.001 - DLL Sideloading]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1090-002-external-proxy|T1090.002 - External Proxy]] - [[t1059-006-python|T1059.006 - Python]] - [[t1069-001-local-groups|T1069.001 - Local Groups]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Software Utilizado - [[s0268-bisonal|Bisonal]] - [[s0596-shadowpad|ShadowPad]] - [[mimikatz|Mimikatz]] - [[s0349-lazagne|LaZagne]] - [[s0590-nbtscan|NBTscan]] - [[s0008-gsecdump|gsecdump]] - [[quickmute|QuickMute]] - [[gh0st-rat|Gh0st RAT]] ## Relevância para o Brasil e LATAM > [!info] Risco Moderado - Via Setores Estratégicos e Cadeias de Fornecimento > O Tonto Team nao tem historico documentado de operações em LATAM, mas seu mandato de espionagem industrial em **energia, mineracao e defesa** cria overlap com alvos estratégicos brasileiros. **Vetores de risco para o Brasil:** - **Espionagem industrial em mineracao e energia**: o Tonto Team tem historico documentado de atacar setor de energia e mineracao - alvos com perfil identico ao de empresas brasileiras como Vale (mineracao), Petrobras (petroleo e gas) e CEMIG/CPFL (energia) - **Vulnerabilidades Equation Editor persistentes**: CVE-2017-11882 e CVE-2018-0802 ainda afetam instalacoes desatualizadas de Microsoft Office - amplamente presente em empresas brasileiras sem programa rigido de patch management - **Ataque a empresas de segurança**: o padrao de atacar Group-IB indica disposicao de atacar organizacoes de CTI - empresas brasileiras de segurança que rastreiam APTs chineses podem ser alvos de interesse - **ProxyLogon**: o CVE-2021-26855 ainda afeta Exchange servers nao atualizados; muitos ambientes corporativos brasileiros dependem de Exchange on-premises - **Compartilhamento de arsenal via digital quartermaster**: o fato de o Tonto Team ter acesso ao ShadowPad indica que pode receber "atribuicoes" de operações contra novos alvos - incluindo LATAM - se o contexto estratégico demandar ## Referências - [MITRE ATT&CK - Tonto Team (G0131)](https://attack.mitre.org/groups/G0131/) - [Kaspersky - CactusPete Bisonal.DoubleT (2020)](https://securelist.com/cactuspete-apt-groups-updated-bisonal-backdoor/97962/) - [Trend Micro - Earth Akhlut Campaigns (2023)](https://www.trendmicro.com/) - [Group-IB - Tonto Team Attack Disclosure (2021-2022)](https://www.group-ib.com/) - [JPCERT/CC - Operation Bitter Biscuit (2018)](https://www.jpcert.or.jp/) - [Recorded Future - Royal Road RTF Builder Analysis](https://www.recordedfuture.com/)