g0135-backdoordiplomacy

# BackdoorDiplomacy > [!warning] APT Diplomático - Ministérios de Relações Exteriores e Telecomúnicações > O BackdoorDiplomacy é um grupo de espionagem com foco exclusivo em **Ministérios das Relações Exteriores** e **operadoras de telecomúnicações** na África, Oriente Médio, Europa e América do Sul. O grupo explora vulnerabilidades em dispositivos de rede expostos (F5 BIG-IP, Microsoft Exchange, Apache) para implantar web shells e o backdoor **Turian** — uma evolução direta do antigo malware Quarian. ## Visão Geral O **BackdoorDiplomacy** (G0135) é um grupo de ciberespionagem documentado pela ESET em junho de 2021, ativo desde pelo menos 2017. A atribuição à China é considerada de confiança média pela comunidade de pesquisa, baseada em sobreposições de TTPs com grupos chineses conhecidos e no uso do [[s0020-china-chopper|China Chopper]] web shell — ferramenta historicamente associada a operadores chineses. O grupo demonstra interesse geopolítico claro: seus alvos são quase exclusivamente **Ministérios de Relações Exteriores** e **empresas de telecomúnicações** em países da África Subsaariana, Oriente Médio, e em menor grau Europa e América do Sul. A combinação de alvos — diplomacia estatal + infraestrutura de comúnicações — sugere que o BackdoorDiplomacy coleta inteligência sobre política externa e possívelmente acessa metadados de comúnicações. O vetor de acesso inicial preferido é a exploração de vulnerabilidades em **aplicações e dispositivos de borda expostos à internet**: F5 BIG-IP ([[cve-2020-5902|CVE-2020-5902]]), Microsoft Exchange (diversas vulnerabilidades), servidores Apache, e equipamentos de rede com portas gerenciais expostas. Após exploração, o grupo implanta web shells (principalmente [[s0020-china-chopper|China Chopper]]) para estabelecer acesso persistente e depois carrega o backdoor [[s0647-turian|Turian]]. O **Turian** é técnicamente derivado do **Quarian** — um backdoor de espionagem anteriormente atribuído a grupos chineses que atacaram alvos diplomáticos e governamentais. O Turian adiciona um protocolo de criptografia de rede customizado que dificulta a detecção por inspeção de tráfego. Adicionalmente, o grupo usa **EarthWorm** — uma ferramenta de tunelamento de rede — e [[mimikatz|Mimikatz]] para extração de credenciais, além de realizar escaneamento com [[s0590-nbtscan|NBTscan]] para mapeamento interno. Uma característica notável: o BackdoorDiplomacy monitora dispositivos USB removíveis conectados ao sistema comprometido, coletando conteúdo de pen drives — técnica que aponta para interesse em documentos diplomáticos transportados fisicamente. ## Attack Flow - Espionagem Diplomática via Borda de Rede ```mermaid graph TB A["Reconhecimento Scan de borda exposta F5 BIG-IP Exchange Apache"] --> B["Exploração Vulnerabilidade T1190 CVE-2020-5902 ProxyLogon ProxyShell"] B --> C["Web Shell China Chopper T1505.003 Acesso persistente via HTTP"] C --> D["Deploy Turian Backdoor DLL Injection T1055.001 Protocolo C2 criptografado"] D --> E["Reconhecimento Interno T1046 NBTscan T1049 Network Connections"] E --> F["Coleta e Staging T1074.001 Dados diplomáticos T1120 USB - pen drives"] F --> G["Exfiltração T1095 Non-Application Layer EarthWorm tunneling C2"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#16a085,color:#fff style G fill:#196f3d,color:#fff ``` ## Arsenal Técnico | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0647-turian\|Turian]] | Backdoor customizado | C2 com protocolo criptografado customizado — evolução do Quarian | | [[s0020-china-chopper\|China Chopper]] | Web shell | Web shell leve para acesso persistente pós-exploração | | [[mimikatz\|Mimikatz]] | Ferramenta pública | Extração de credenciais Windows (LSASS, NTLM, Kerberos) | | [[s0590-nbtscan\|NBTscan]] | Ferramenta pública | Escaneamento NetBIOS para mapeamento de rede interna | | [[s0262-quasarrat\|QuasarRAT]] | RAT público | Acesso remoto — usado em algumas intrusões como alternativa | | EarthWorm | Ferramenta pública | Tunelamento de rede SOCKS para pivotamento e exfiltração | | [[s0190-bitsadmin\|BITSAdmin]] | Ferramenta legítima | Download de payloads adicionais em alguns casos | ## Conexão Turian - Quarian ```mermaid graph TB A["Quarian 2013-2014 Backdoor atribuído à China Alvos diplomáticos governamentais"] --> B["Evolução técnica Protocolo de rede atualizado Criptografia customizada"] B --> C["Turian 2017-2021 BackdoorDiplomacy Mesma funcionalidade base"] C --> D["Capacidades adicionais USB monitoring T1120 Staging local T1074.001"] D --> E["Persistência DLL T1574.001 Hijacking Masquerade serviço legítimo"] style A fill:#7f8c8d,color:#fff style C fill:#c0392b,color:#fff style E fill:#196f3d,color:#fff ``` ## Timeline ```mermaid timeline title BackdoorDiplomacy - Cronologia 2017 : Primeiras atividades detectadas : África e Oriente Médio - MFA targets 2019-2020 : Expansão geográfica : América do Sul adicionada a alvos 2020 : CVE-2020-5902 F5 BIG-IP : Exploração de dispositivos de balanceamento 2021-04 : ProxyLogon Microsoft Exchange : Múltiplas vulnerabilidades Exchange exploradas 2021-06 : ESET publica pesquisa : BackdoorDiplomacy nomeado publicamente ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | F5 BIG-IP, Exchange, Apache como vetor inicial | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | China Chopper para acesso HTTP persistente | | DLL Injection | [[t1055-001-dynamic-link-library-injection\|T1055.001]] | Turian carregado via injeção de DLL em processo legítimo | | DLL Hijacking | [[t1574-001-dll\|T1574.001]] | Persistência via DLL search order hijacking | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads ofuscados para evasão de AV | | Network Service Discovery | [[t1046-network-service-discovery\|T1046]] | NBTscan mapeia rede interna | | Peripheral Device Discovery | [[t1120-peripheral-device-discovery\|T1120]] | Monitoramento de dispositivos USB removíveis | | Non-Application Layer Protocol | [[t1095-non-application-layer-protocol\|T1095]] | Protocolo criptografado customizado do Turian | | Local Data Staging | [[t1074-001-local-data-staging\|T1074.001]] | Dados coletados em pasta local antes de exfiltração | ## Relevância para o Brasil e LATAM > [!latam] Risco Real para Diplomacia Brasileira e Telecomúnicações > A ESET identificou **vítimas na América do Sul** no relatório original do BackdoorDiplomacy. O Brasil, com sua ativa política externa, Itamaraty, e operadoras de telecom de grande escala, se encaixa perfeitamente no perfil de alvo do grupo. Fatores de risco específicos para o Brasil: - **Itamaraty**: O Ministério das Relações Exteriores brasileiro é exatamente o tipo de alvo prioritário do BackdoorDiplomacy — comúnicações diplomáticas com parceiros africanos e oriente-médios são de alto valor de inteligência - **Operadoras de telecom**: Claro, Vivo (Telefónica), TIM, Oi, além de provedores de backbone como Embratel e Oi — todas possuem dispositivos F5 BIG-IP, Exchange e equipamentos de borda expostos - **CVE-2020-5902**: A vulnerabilidade F5 BIG-IP explorada pelo BackdoorDiplomacy afetou massivamente infraestrutura brasileira em 2020 - **Vítimas na América do Sul confirmadas**: A ESET documentou comprometimentos na região, sugerindo que o Brasil pode estar entre os alvos não nomeados - **USB monitoring**: A técnica de coleta de pen drives é relevante para ambientes diplomáticos onde documentos são transportados fisicamente ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | Web shell China Chopper detectado em servidor web | WAF/EDR: assinatura específica do China Chopper (1 linha de código PHP/ASP) | | DLL não assinada carregada por processo legítimo de rede | EDR: alertas para DLL injection em processos de sistema | | NBTscan.exe executado por processo servidor | SIEM: alertas para NBTscan em servidor — raramente legítimo neste contexto | | Turian: tráfego de saída com protocolo criptografado customizado para IPs externos | NDR: detecção de protocolo anômalo em portas não padrão | | Dispositivo USB inserido: cópia automática de arquivos para pasta de staging | EDR: monitorar processos que acessam drives removíveis imediatamente após inserção | **Mitigações prioritárias:** 1. Aplicar patches em F5 BIG-IP, Microsoft Exchange e Apache imediatamente — são vetores iniciais confirmados 2. Auditar e remover web shells em todos os servidores web expostos 3. Implementar controle de aplicações para bloquear NBTscan e ferramentas similares 4. Segmentar rede e monitorar tráfego de servidores diplomáticos para IPs externos 5. Controle de dispositivos USB em ambientes de alta segurança (diplomáticos, governo) ## Referências - [1](https://www.welivesecurity.com/2021/06/10/backdoordiplomacy-upgrading-quarian-turian/) ESET - BackdoorDiplomacy: Upgrading from Quarian to Turian (2021) - [2](https://attack.mitre.org/groups/G0135/) MITRE ATT&CK - BackdoorDiplomacy G0135 - [3](https://www.mandiant.com/resources/blog/china-chopper-still-active-9-years-later) Mandiant - China Chopper Still Active 9 Years Later - [4](https://nvd.nist.gov/vuln/detail/CVE-2020-5902) NVD - CVE-2020-5902 F5 BIG-IP RCE - [5](https://malpedia.caad.fkie.fraunhofer.de/actor/backdoordiplomacy) Malpedia - BackdoorDiplomacy Actor Profile **Grupos relacionados:** [[g0045-apt10|APT10]] · [[g0096-apt41|APT41]] (outros grupos chineses com foco em espionagem diplomática e telecom) **Malware principal:** [[s0647-turian|Turian]] · [[s0020-china-chopper|China Chopper]] **Setores alvejados:** [[government|Governo]] · [[diplomatic|Diplomacia]] · [[telecommunications|Telecomúnicações]]