g1002-bitter - RunkIntel

# BITTER > [!high] APT Sul-Asiatico com Foco em Espionagem Nuclear e de Defesa > **BITTER** (T-APT-17) e um grupo de espionagem cibernética com forte indicacao de origem indiana, ativo desde 2013 e com alvos consistentes no **Pakistan, China e Bangladesh**. Especializado em espionagem de setores de energia nuclear, engenharia e defesa, o grupo usa spear-phishing com iscas de temas militares e diplomaticos combinado com o backdoor **ZxxZ** e exploits de Office para acesso persistente. ## Visão Geral BITTER e um grupo APT rastreado pela Cisco Talos, Forcepoint e outras empresas de ameaças desde pelo menos 2013, com atribuicao de media confiança a atores alinhados com interesses indianos baseada em padroes de horario operacional (UTC+5:30, fuso horario indiano), selecao de alvos e infraestrutura. O grupo nao possui reivindicacao pública e opera sob silencio diplomatico - padrao tipico de grupos de espionagem estatal em conflitos regionais. O foco operacional do BITTER e precisamente definido: **agencias de energia nuclear e engenharia** no Pakistan (riválidade nuclear historica India-Pakistan), **instalacoes militares e de defesa** no Bangladesh, e **setores de energia critica e governo** na China. Em 2022, o grupo expandiu operações para incluir o Mianmar, possívelmente relacionado a projetos de infraestrutura regionais da iniciativa Belt and Road. O arsenal tecnico evoluiu progressivamente: de keyloggers simples em 2013-2015 para backdoors customizados como [[s1013-zxxz|ZxxZ]] - descoberto pela Cisco Talos em 2022 - que usa resolução de DNS dinâmica ([[t1568-dynamic-resolution|T1568]]) e canais criptografados para evadir detecao. O [[artra-downloader|ArtraDownloader]] e um componente de primeiro estagio que executa via DDE (Dynamic Data Exchange) em documentos Word - um vetor de baixo ruido que evita macros e dispensa habilitacao pelo usuario. ## Evolução Tática 2013-2025 ```mermaid graph TB A["2013-2016 Operacoes iniciais Pakistan governo - keyloggers"] --> B["2017-2019 Expansao Bangladesh DDE exploits + Office"] B --> C["2020-2022 China como alvo primario ZxxZ backdoor - Talos report"] C --> D["2022-2023 CVE exploitation Confluence + Win32k escalacao"] D --> E["2024-2025 Mianmar expansao Energia + defesa regional"] style A fill:#1a5276,color:#fff style B fill:#2980b9,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#7b241c,color:#fff ``` ## Attack Flow - Campanha Nuclear/Defesa ```mermaid graph TB A["Preparação Registro de dominios T1583.001 - tema militar"] --> B["Entrega Spear-phishing - PDF/Word T1566.001 - isca diplomatica"] B --> C["Execução DDE ou arquivo malicioso T1559.002 / T1203"] C --> D["Download Payload ArtraDownloader T1105 - ingress transfer"] D --> E["Backdoor ZxxZ DNS dinâmico C2 T1568 + T1573"] E --> F["Persistência Scheduled task mascarada T1053.005 + T1036.004"] F --> G["Exfiltração Dados de defesa/nucleo Canal criptografado"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#e67e22,color:#fff style E fill:#8e44ad,color:#fff style F fill:#2980b9,color:#fff style G fill:#117a65,color:#fff ``` ## Arsenal Tecnico | Ferramenta | Categoria | Uso no BITTER | |-----------|-----------|--------------| | [[s1013-zxxz\|ZxxZ]] | Backdoor customizado | C2 via DNS dinâmico; execução de comandos remotos | | [[artra-downloader\|ArtraDownloader]] | Downloader | Primeiro estagio via DDE; injeta payload na memoria | | [[bitter-rat\|BitterRAT]] | RAT | Variante mobile para Android em campanha de 2022 | ## CVEs Explorados | CVE | Produto | Uso | |-----|---------|-----| | [[cve-2021-28310\|CVE-2021-28310]] | Windows Win32k | Escalacao de privilegio local; post-exploitation | | [[cve-2022-26134\|CVE-2022-26134]] | Atlassian Confluence | RCE via OGNL injection; acesso a servidores colaboracao | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1559-002-dynamic-data-exchange|T1559.002 - Dynamic Data Exchange]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] - [[t1573-encrypted-channel|T1573 - Encrypted Channel]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1588-002-tool|T1588.002 - Tool]] ## Software Utilizado - [[s1013-zxxz|ZxxZ]] - [[artra-downloader|ArtraDownloader]] - [[bitter-rat|BitterRAT]] ## Relevância para o Brasil e LATAM > [!low] Ameaça Indireta - Energia e Defesa como Modelo de Risco > BITTER e geograficamente especializado em Sul/Sudeste Asiatico e nao representa ameaça documentada ao Brasil. Contudo, **o modelo operacional do grupo e altamente relevante**: empresas brasileiras de energia nuclear (Eletronuclear), defesa (Embraer, industria de armamentos) e engenharia com projetos internacionais sao alvos-tipo de grupos de espionagem estatal com perfil similar. O BITTER usa iscas de alta qualidade em portugues em outras campanhas (adapta o idioma do alvo) - o que significa que grupos similares atacando alvos brasileiros usariam documentos em PT-BR. As técnicas de DDE e resolução DNS dinâmica do ZxxZ sao aplicaveis a qualquer setor e nao requerem modificacao para alvos na América Latina. Para analistas brasileiros, o principal valor desta nota e o modelo de defesa: organizacoes de energia nuclear, engenharia de defesa e governo devem implementar detecção de DDE em documentos Office e monitoramento de resolução DNS dinâmica em endpoints criticos. ## Detecção e Defesa | Indicador | Técnica | Acao | |-----------|---------|------| | Documento Word executando processo via DDE | T1559.002 | Desabilitar DDE em politica de Office via GPO | | Resolução DNS para dominios novos de curto TTL | T1568 | DNS RPZ + alerta SIEM para dominios < 7 dias | | Tarefa agendada com nome de servico do sistema | T1036.004 | Auditoria de scheduled tasks - verificar hashes | | ZxxZ - conexoes saindo em intervalos regulares | T1568 | Beacon detection via SIEM - intervalos de heartbeat | | Escalacao Win32k - processo sem privilegio ganhando SYSTEM | T1068 | EDR comportamental - privilege escalation detection | **Mitigacoes prioritarias:** Desabilitar DDE em Office ([[m1042-disable-or-remove-feature-or-program|M1042]]), patch de CVEs de escalacao ([[m1051-update-software|M1051]]) e DNS filtering ([[m1031-network-intrusion-prevention|M1031]]). ## Referências - [1](https://attack.mitre.org/groups/G1002/) MITRE ATT&CK - BITTER (G1002) - [2](https://blog.talosintelligence.com/2022/09/bitter-apt-pakistan-china-us-uk.html) Cisco Talos - BITTER APT: Pakistan, China, US, UK (2022) - [3](https://www.forcepoint.com/blog/x-labs/bitter-targeted-attack-against-pakistan) Forcepoint - BITTER: Targeted Attack Against Pakistan - [4](https://www.trendmicro.com/en_us/research/23/b/investigating-the-bitter-apt.html) Trend Micro - Investigating BITTER APT (2023)