g0136-indigozebra - RunkIntel

# IndigoZebra > [!info] China APT - Espionagem Política na Ásia Central > IndigoZebra é um ator de espionagem chinês com foco exclusivo em governos da Ásia Central desde 2014. Inovação em 2021: uso do Dropbox como servidor C2 camuflando comúnicações como tráfego legítimo. ## Visão Geral **IndigoZebra** é um grupo de espionagem cibernética com suspeita de origem chinesa, ativo desde pelo menos 2014. O grupo mantém foco estreito em **entidades governamentais de ex-repúblicas soviéticas na Ásia Central** - especialmente Afeganistão, Quirguistão e Uzbequistão. Documentado pela Kaspersky em 2017 nos relatórios de tendências APT e investigado mais profundamente pela Check Point Research em 2021, o IndigoZebra demonstrou evolução técnica significativa: seus backdoors mais recentes (**BoxCaon**) utilizam o **Dropbox como servidor de C2**, camuflandc tráfego malicioso com a aparência de sincronização legítima de arquivos em nuvem. A técnica mais sofisticada documentada é o **ministry-to-ministry deception**: o grupo compromete primeiro a conta de email de um funcionário de alto escalão de um ministério, então usa essa conta para enviar emails maliciosos a outro órgão governamental - vítima que recebe comunicação aparentemente legítima de uma fonte de confiança. ## Attack Flow - Ministry-to-Ministry Deception ```mermaid graph TB A["🔐 Comprometimento de Email T1586.002 - Conta do Governo Funcionário de ministério"] --> B["📧 Phishing Cruzado Email de M1 para M2 Com RAR protegido por senha"] B --> C["📦 Extração do RAR Senha no próprio email Bypassa sandboxes auto"] C --> D["💻 BoxCaon Deploy C2 via Dropbox API Pasta única por vitima"] D --> E["🗂️ Exfiltração Arquivos + comandos Camufla como sync legítimo"] E --> F["🔄 Expansao Movimentação lateral Ferramentas adicionais: NBTscan/Meterpreter"] classDef email fill:#1a5276,color:#fff,stroke:#154360 classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef rar fill:#e67e22,color:#fff,stroke:#d35400 classDef boxcaon fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 classDef expand fill:#2471a3,color:#fff,stroke:#1a5276 class A email class B phish class C rar class D boxcaon class E exfil class F expand ``` ## Mecanismo BoxCaon - Dropbox como C2 ```mermaid graph TB A["BoxCaon Init Deploy via dropper Primeira etapa"] --> B["Autenticação Dropbox Token OAuth2 hardcoded Client ID + Secret"] B --> C["Pasta Única por Vítima Estrutura /d/c.txt Isolamento por alvo"] C --> D["Recebe Comandos Lê arquivo c.txt Shell remoto"] D --> E["Execução de Comandos Sistema comprometido Coleta documentos"] E --> F["Exfiltração Dropbox Upload para pasta C2 Camufla como sync"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#1a5276,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2471a3,color:#fff style F fill:#196f3d,color:#fff ``` **Comparação BoxCaon vs LOWBALL (admin@338):** | Aspecto | BoxCaon | LOWBALL | |---------|---------|---------| | Serviço C2 | Dropbox API | Dropbox API | | Token | OAuth2 hardcoded | OAuth2 hardcoded | | Estrutura | Pasta por vítima | Pasta compartilhada | | Evasão | Stackstrings + obfuscação | Tráfego HTTPS legítimo | | Grupo | IndigoZebra (G0136) | admin@338 (G0018) | O uso paralelo do Dropbox como C2 por dois grupos chineses distintos (IndigoZebra e admin@338) indica que esta é uma técnica consolidada no arsenal de APTs chineses - provavelmente compartilhada via fóruns privados ou contratistas comuns. ## Arsenal de Malware - Evolução | Malware | Versão | Protocolo C2 | Período | |---------|--------|-------------|---------| | **xCaon** | Múltiplas variantes | HTTP com Base64+XOR | 2014-2021 | | **BoxCaon** | Evolução do xCaon | Dropbox API (texto limpo) | 2021 | | **PoisonIvy** | Framework público | HTTP | 2014-2021 | | **Meterpreter** | Framework público | HTTPS | 2021 | | **NBTscan** | Ferramenta pública | N/A | Reconhecimento | ### BoxCaon - Análise Técnica O backdoor BoxCaon representa a evolução técnica mais significativa do IndigoZebra: - Cria uma **pasta única no Dropbox** para cada vitima comprometida - Recebe comandos do arquivo `c.txt` em subpasta `d/` da pasta da vitima - Envia resultados e arquivos exfiltrados de volta para a mesma pasta - Usa token de acesso hardcoded (cliente ID, client secret, refresh token) - Usa técnica **stackstrings** para obfuscação de strings e evasão de análise estática Infraestrutura C2: Desde 2019, servidores concentrados no ASN 20473 (CHOOPA/Vultr) - plataforma amplamente usada por APTs chineses. ## Campanha - Afeganistão NSC 2021 Em abril de 2021, o IndigoZebra comprometeu a **conta de email de um funcionário do Escritório Administrativo da Presidência do Afeganistão** e usou-a para enviar emails maliciosos aos **funcionários do Conselho Nacional de Segurança (NSC)** afegão. O email pedia que os funcionários do NSC revisassem modificações em um documento relacionado a uma coletiva de imprensa. O anexo era um arquivo RAR protegido por senha (`NSC Press conference.rar`), com a senha fornecida no próprio email. Este caso exemplifica o **"ministry-to-ministry deception"** - a vítima recebe comunicação aparentemente legítima de uma fonte de confiança institucional. ## Técnicas Utilizadas - [[t1583-001-domains|T1583.001 - Domains]] - [[t1583-006-web-services|T1583.006 - Web Services]] - [[t1586-002-email-accounts|T1586.002 - Email Accounts]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1588-002-tool|T1588.002 - Tool]] ## Software Utilizado - [[s0653-xcaon|xCaon]] - [[s0651-boxcaon|BoxCaon]] - [[s0012-poisonivy|PoisonIvy]] ## Grupos Relacionados - [[g0045-apt10|APT10 (MenuPass)]] - grupo chinês com uso de PoisonIvy e PlugX - [[vicious-panda|ViciousPanda]] - grupo chinês com infraestrutura em servidores Vultr - [[g0096-apt41|APT41]] - grupo chinês com targeting governamental na Ásia ## Relevância para o Brasil e LATAM > [!info] Risco Baixo Direto - Padrão de Expansão Geográfica Relevante > IndigoZebra mantém foco exclusivo em governos da Ásia Central (Afeganistão, Quirguistão, Uzbequistão). Não há registros de campanhas na LATAM. O padrão de expansão do grupo - de ex-repúblicas soviéticas para o governo afegão - sugere que **qualquer entidade governamental de interesse estratégico para a China pode ser próximo alvo**. A técnica de ministry-to-ministry deception é transferível para qualquer país com relações diplomáticas com nações na região de interesse chinês. Para o Brasil: missões diplomáticas em países da Ásia Central ou China, bem como o **Itamaraty** em comunicação com esses países, devem monitorar phishing que pareça vir de contas institucionais legítimas. O uso de arquivos RAR protegidos por senha como vetor é indicador específico. Organizações brasileiras que utilizam Dropbox para colaboração devem implementar monitoramento de conexões Dropbox incomuns - o BoxCaon camufla tráfego malicioso exatamente como sincronização legítima. ## Detecção e Mitigação - Monitorar comúnicações de email que peçam abertura de arquivos RAR com senha fornecida no mesmo email - Implementar autenticação de dois fatores em contas de email governamentais - Monitorar chamadas à API do Dropbox/OneDrive para padrões C2 anômalos - Bloquear/monitorar ferramentas de reconhecimento de rede (NBTscan) em ambientes corporativos - Verificar integridade de contas de email de alto escalão antes de executar instruções recebidas ## Referências - [1](https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/) Check Point Research - IndigoZebra APT continues to attack Central Asia (2021) - [2](https://thehackernews.com/2021/07/indigozebra-apt-hacking-campaign.html) The Hacker News - IndigoZebra APT Hacking Campaign Targets Afghan Government (2021) - [3](https://attack.mitre.org/groups/G0136/) MITRE ATT&CK - G0136 IndigoZebra - [4](https://therecord.media/chinese-cyberspies-targeted-the-afghan-national-security-council) The Record - Chinese cyberspies targeted Afghan NSC (2021) - [5](https://attack.mitre.org/groups/G0136/) MITRE ATT&CK - IndigoZebra G0136 (2025)