# Aquatic Panda ## Visão Geral **Aquatic Panda** (MITRE G0143), também rastreado como **Bronze University**, **Charcoal Typhoon**, **Earth Lusca** e **RedHotel**, e um grupo de espionagem cibernetica patrocinado pelo Estado chines com **dupla missao**: coleta de inteligência e **espionagem industrial**. Ativo desde pelo menos **maio de 2020**, o grupo opera sob o guarda-chuva do **Winnti Group** (APT41) e foi parcialmente atribuido ao contratante chines **i-Soon**, cujos funcionarios foram **indiciados pelo DOJ americano** em marco de 2025. Em **dezembro de 2021**, o grupo foi detectado explorando **Log4Shell (CVE-2021-44228, CVSS 10.0)** em ataques contra uma grande instituicao academica americana - tornando-se um dos primeiros grupos APT a usar o exploit Log4j em operações reais. Em **2022**, conduziu a **Operation FishMedley**: campanha global de 10 meses atingindo 7 organizacoes em 6 paises - governos, ONGs catolicas, think tanks - com o arsenal [[s0596-shadowpad|ShadowPad]], [[s0627-sodamaster|SodaMaster]] e Spyder. > [!warning] Vinculo Documentado ao i-Soon > O DOJ americano indiciou funcionarios do contratante chines **i-Soon** em marco de 2025 por campanhas de 2016-2023 que incluem atividade retroativamente atribuida ao cluster FishMonger/Aquatic Panda. Esto fornece uma rara jánela para a cadeia de contratacao do MSS chines. ## Atribuicao | Atributo | Detalhe | |---------|---------| | Umbrela | Winnti Group (APT41 / Barium / Bronze Atlas) | | Contratante | i-Soon (indiciamento DOJ marco 2025) | | Rastreamento ESET | FishMonger | | Rastreamento CrowdStrike | Bronze University | | Motivacao | Espionagem estatal + espionagem industrial | ## Attack Flow - Log4Shell Campaign ```mermaid graph TB A["Reconhecimento<br/>T1595.002 DNS scan<br/>identifica VMware Horizon<br/>vulnerável ao Log4j"] --> B["Acesso Inicial<br/>CVE-2021-44228 Log4Shell<br/>CVSS 10.0 - RCE"] B --> C["Reconhecimento Pos-Compromisso<br/>Priv level discovery<br/>T1082 SysInfo"] C --> D["Desativar EDR<br/>T1562.001 Stop endpoint<br/>security service"] D --> E["Credential Harvest<br/>T1003.001 LSASS dump<br/>WinRAR compressao"] E --> F["Exfiltração<br/>Dados comprimidos<br/>para exfil preparado"] style A fill:#1a3a5c,color:#fff style B fill:#c0392b,color:#fff style C fill:#d68910,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2c5282,color:#fff style F fill:#196f3d,color:#fff ``` ## Operation FishMedley - 2022 A **Operation FishMedley** (ESET, 2025) e a campanha mais bem documentada do Aquatic Panda. Dez meses de operações (janeiro-outubro 2022) contra 7 organizacoes em 6 paises: | Pais | Tipo de Alvo | |------|-------------| | Taiwan | Governo | | Hungria | Organização religiosa (caridade catolica) | | Turquia | ONG | | Tailândia | Governo | | Franca | ONG / Think tank | | EUA | Think tank | **Malware usado:** [[s0596-shadowpad|ShadowPad]], [[s0627-sodamaster|SodaMaster]], Spyder, RPipeCommander (novo - reverse shell C++ para orgao governamental tailandes). **Nota critica:** O [[s0627-sodamaster|SodaMaster]] foi originalmente exclusivo do [[g0045-apt10|APT10]], mas esta campanha confirmou que **outros grupos chineses já tem acesso a ele** - indicando compartilhamento de arsenal no ecosistema de espionagem chines. ## Diagrama de Arsenal ```mermaid graph TB subgraph "Arsenal Compartilhado Winnti" S1["ShadowPad<br/>Backdoor modular premium"] S2["Winnti for Windows<br/>Rootkit + backdoor"] S3["Winnti for Linux<br/>Variante Linux"] S4["Cobalt Strike<br/>Framework ofensivo"] end subgraph "Arsenal Mais Novo" S5["SodaMaster<br/>antes exclusivo APT10"] S6["Spyder<br/>Implant de espionagem"] S7["RPipeCommander<br/>Reverse shell C++"] end S1 --> S5 S2 --> S6 S4 --> S7 ``` ## Técnicas Utilizadas - [[t1595-002-vulnerability-scanning|T1595.002 - Vulnerability Scanning]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1087-account-discovery|T1087 - Account Discovery]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1574-006-dynamic-linker-hijacking|T1574.006 - Dynamic Linker Hijacking]] - [[t1070-003-clear-command-history|T1070.003 - Clear Command History]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1550-002-pass-the-hash|T1550.002 - Pass the Hash]] - [[t1574-001-dll|T1574.001 - DLL Sideloading]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] ## Software Utilizado - [[s0596-shadowpad|ShadowPad]] - [[s0154-cobalt-strike|Cobalt Strike]] - [[s0141-winnti-for-windows|Winnti for Windows]] - [[s0430-winnti-for-linux|Winnti for Linux]] - [[s0627-sodamaster|SodaMaster]] - [[s0385-njrat|njRAT]] ## Relevância para o Brasil e LATAM > [!warning] Risco Moderado - Dupla Missao Inclui Espionagem Industrial > O **duplo mandato** do Aquatic Panda - inteligência estatal e espionagem industrial - e particularmente relevante para o Brasil, dado o peso do pais em mineracao, petroleo e gas, e tecnologia. **Vetores de risco para o Brasil:** - **Log4Shell (CVE-2021-44228)**: Instancias vulneraveis ainda existem em producao em muitas empresas brasileiras; o grupo e confirmado como usuario desta vulnerabilidade - **Espionagem industrial**: Setores de mineracao (Vale, Gerdau), petroleo e gas (Petrobras), e tecnologia (startups de alto crescimento) sao alvos com perfil compativel - **ONGs e think tanks**: A Operation FishMedley incluiu organizacoes religiosas e ONGs - perfil que existe abundantemente no Brasil - **Vinculo ao i-Soon**: A cadeia de contratacao do MSS revela que **múltiplos grupos** podem atacar o mesmo alvo em nome da China; Aquatic Panda seria um potencial executor de tarefas de inteligência sobre o Brasil ## Referências - [MITRE ATT&CK - Aquatic Panda (G0143)](https://attack.mitre.org/groups/G0143/) - [CrowdStrike - Log4Shell APT Exploitation (2021)](https://www.crowdstrike.com/blog/) - [ESET - Operation FishMedley (2025)](https://www.eset.com/int/about/newsroom/press-releases/research/) - [The Hacker News - Aquatic Panda 10-Month Campaign (2025)](https://thehackernews.com/2025/03/china-linked-apt-aquatic-panda-10-month.html) - [DOJ - i-Soon Indictment (2025)](https://www.justice.gov/)