g1006-earth-lusca - RunkIntel

# Earth Lusca ## Visão Geral Earth Lusca e um grupo de **cyber espionagem baseado na China**, ativo desde pelo menos abril de 2019. Rastreado pela Trend Micro, o grupo e associado ao cluster Winnti mas opera com infraestrutura e TTPs distintas. A Secureworks rastreia como **Bronze University**, a Microsoft como **Charcoal Typhoon/CHROMIUM**, e alguns pesquisadores como **AQUATIC PANDA** ou **TAG-22**. O grupo apresenta **dupla motivacao**: espionagem estratégica (governo, midia, telecomúnicacoes) e ganho financeiro (plataformas de jogo, criptomoedas). Evidências geograficas indicam origem proxima a **Chengdu, Sichuan, China**. Em setembro de 2024, a Trend Micro revelou o uso de **KTLVdoor**, um novo backdoor multiplatforma altamente ofuscado com mais de 50 servidores C2 hospedados pela ISP chinesa Alibaba - a adicao mais significativa ao arsenal do grupo. **Também conhecido como:** Earth Lusca, TAG-22, Charcoal Typhoon, CHROMIUM, ControlX, Bronze University, RedHotel, AQUATIC PANDA > [!info] Relacao com o Cluster Winnti > Earth Lusca utiliza [[s0596-shadowpad|ShadowPad]] e [[s0430-winnti-for-linux|Winnti]] - malwares compartilhados com [[g0096-apt41|APT41]], Earth Baku e Sparkling Goblin. Pesquisadores avaliam que Earth Lusca provavelmente compartilha código, ferramentas ou infraestrutura com esses grupos, mas possui operações e infraestrutura proprias distintas. ## Attack Flow - Espionagem Multi-Estagio ```mermaid graph TB A["🎭 Acesso Inicial Spear-phishing ou Watering hole"] --> B["🌐 Exploração de Servidores Vulnerabilidades em apps web expostas"] B --> C["🐚 Web Shell Implantação em servidor comprometido"] C --> D["🔎 Reconhecimento DCSync, discovery, enumeracao de rede"] D --> E["↔️ Movimento Lateral SSH authorized_keys Print Processors"] E --> F["🚀 Backdoor Principal ShadowPad, KTLVdoor Cobalt Strike C2"] F --> G["📤 Exfiltração Cloud storage bucket controlado pelo atacante"] classDef initial fill:#c0392b,color:#fff,stroke:#922b21 classDef web fill:#e67e22,color:#fff,stroke:#d35400 classDef shell fill:#f39c12,color:#fff,stroke:#d68910 classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef lateral fill:#8e44ad,color:#fff,stroke:#6c3483 classDef backdoor fill:#27ae60,color:#fff,stroke:#1e8449 classDef exfil fill:#922b21,color:#fff,stroke:#7b241c class A initial class B web class C shell class D recon class E lateral class F backdoor class G exfil ``` ## Timeline de Campanhas ```mermaid timeline title Earth Lusca - Campanhas Documentadas Abr 2019 : Inicio das operacoes documentadas Mid 2021 : Campanha via watering hole : Descoberta do BIOPASS RAT 2022 : Expansao geografica documentada : Alvos em Nigéria e UAE Ján 2023 : Novo backdoor Linux : Uso de Cobalt Strike lateral Dez 2023 : Campanha eleitoral Taiwan : Isca geopolitica pre-eleicoes Set 2024 : KTLVdoor revelado : 50+ servidores C2 Alibaba : Backdoor multiplatforma ``` ## Campanhas Recentes ### Uso do KTLVdoor em Ataque Multiplatforma (Set 2024) A Trend Micro revelou que o Earth Lusca adotou o **KTLVdoor**, um backdoor multiplatforma altamente ofuscado escrito de forma a dificultar análise. Caracteristicas chave: - Suporte a Windows e Linux em um único binario - Mais de **50 servidores C2**, todos hospedados pela ISP Alibaba (infraestrutura chinesa) - Configuração e comunicação com criptografia e ofuscacao avancadas para dificultar análise de malware - Capacidades: port scanning, execução de comandos remotos, transferencia de arquivos, proxying de rede e mais ### Campanha Eleitoral em Taiwan (Dez 2023) Em dezembro de 2023, o grupo utilizou isca geopolitica relacionada as eleicoes taiwanesas para distribuir malware. A campanha demonstrou o uso de contexto geopolitico como vetor de engenharia social - padrao consistente com objetivos estratégicos de Pequim em relacao a Taiwan. ### Campanha Linux Backdoor e Cobalt Strike (2023) Em 2023, o grupo foi observado usando um novo backdoor Linux (SprySOCKS) combinado com [[s0154-cobalt-strike|Cobalt Strike]] para movimento lateral. O SprySOCKS - derivado do backdoor Trochilus do grupo Earth Berberoka - demonstra a evolução do arsenal para atacar infraestrutura Linux corporativa. ## Arsenal Tecnico ### Backdoors Principais - [[s0596-shadowpad|ShadowPad]] - Backdoor modular sofisticado compartilhado com grupos chineses - [[ktlvdoor|KTLVdoor]] - Novo backdoor multiplatforma (2024), altamente ofuscado, 50+ C2 Alibaba - [[biopass-rat|BIOPASS RAT]] - RAT descoberto em 2021, targeting de clientes via watering hole - [[sprysocks|SprySOCKS]] - Backdoor Linux derivado do Trochilus (2023) - [[s1044-funnydream|FunnySwitch]] - Backdoor usado em redes comprometidas - [[s0430-winnti-for-linux|Winnti for Linux]] - Implante compartilhado com cluster Winnti ### Ferramentas de C2 e Recon - [[s0154-cobalt-strike|Cobalt Strike]] - Servidor C2 e movimento lateral - [[s0194-powersploit|PowerSploit]] - Framework de post-exploitation em PowerShell - [[mimikatz|Mimikatz]] - Dump de credenciais Windows ### Ferramentas de Reconhecimento - [[s0590-nbtscan|NBTscan]] - Enumeracao de rede NetBIOS - [[s0359-nltest|Nltest]] - Identificação de controladores de dominio - [[s0057-tasklist|Tasklist]] - Enumeracao de processos - [[s0160-certutil|certutil]] - Download e decodificacao de payloads ## TTPs Mapeadas no MITRE ATT&CK ### Desenvolvimento e Preparação de Recursos - [[t1583-006-web-services|T1583.006 - Web Services]] - Aquisicao e configuração de servicos web para infraestrutura - [[t1583-001-domains|T1583.001 - Domains]] - Registro de dominios para C2 e phishing - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - Upload de malware em infraestrutura preparada ### Acesso Inicial - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - Watering hole em sites visitados por alvos - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - Exploração de vulnerabilidades em servidores expostos ### Execução - [[t1059-001-powershell|T1059.001 - PowerShell]] - Execução de scripts maliciosos - [[t1059-006-python|T1059.006 - Python]] - Scripts Python em sistemas comprometidos - [[t1059-007-javascript|T1059.007 - JavaScript]] - JavaScript para execução de código - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - VBScript em cadeia de infecção ### Persistência - [[t1098-004-ssh-authorized-keys|T1098.004 - SSH Authorized Keys]] - Adicao de chaves SSH para acesso persistente - [[t1547-012-print-processors|T1547.012 - Print Processors]] - Abuso de Print Processors para persistência - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - Tarefas agendadas para execução persistente ### Evasão - [[t1027-003-steganography|T1027.003 - Steganography]] - Ocultacao de dados em imagens ou outros arquivos - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name]] - Mimica de nomes de arquivos e diretorios legitimos - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files]] - Decodificacao de payloads on-the-fly ### Reconhecimento Interno - [[t1003-006-dcsync|T1003.006 - DCSync]] - Extração de credenciais via replicacao de AD - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - Enumeracao de sistemas na rede - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - Identificação de usuarios - [[t1057-process-discovery|T1057 - Process Discovery]] - Listagem de processos em execução ### Movimento Lateral e Exfiltração - [[t1584-006-web-services|T1584.006 - Web Services]] - Abuso de servicos web para movimento - Exfiltração via cloud storage bucket controlado pelo atacante (injecao de shellcode via mspaint) ## Detecção > [!tip] Indicadores Comportamentais Chave > O Earth Lusca usa duas infraestruturas separadas: uma para C2 de malware e outra para scanning de vulnerabilidades. Monitorar ambas em paralelo. **Indicadores de KTLVdoor:** - Conexoes C2 para IPs na ASN Alibaba (China) de hosts inesperados - Multiplos processos `mspaint.exe` anômalos (injecao de shellcode via mspaint) - Transferencia de arquivos comprimidos para cloud storage externo **Indicadores gerais Earth Lusca:** - Web shells em servidores públicos (Behinder, AntSword, GODZILLA) - [[s0596-shadowpad|ShadowPad]] e [[s0154-cobalt-strike|Cobalt Strike]] em processos incomuns - DCSync de contas nao-DC - Print Processor DLLs nao reconhecidas ## Relevância para o Brasil e LATAM O Earth Lusca historicamente focou em Asia-Pacifico, mas sua expansao geografica documentada (Nigéria, Emirados Arabes, EUA, Alemanha) e interesse em criptoativos e plataformas financeiras indica potencial para atividade em mercados emergentes como o Brasil. **Vetores de risco para o Brasil:** - **Telecomúnicacoes** - padrao de alvos em operadoras de todo o mundo - **Governo e diplomacia** - especialmente entidades com relacoes com Taiwan ou posicoes geopoliticas relevantes para Pequim - **Plataformas de criptomoeda** - exchanges e fintechs brasileiras como Mercado Bitcoin, Foxbit - **Midia e ONG** - historico de targeting de organizacoes de midia e movimentos politicos Com a expansao chinesa na LATAM (Belt and Road Initiative) e o interesse estratégico crescente de Pequim na regiao, grupos como Earth Lusca podem expandir targeting para Brazil e paises vizinhos com perfil similar aos alvos asiaticos do grupo. ## Referências - [MITRE ATT&CK - G1006 Earth Lusca](https://attack.mitre.org/groups/G1006) - [Trend Micro - Earth Lusca KTLVdoor (Set 2024)](https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html) - [Trend Micro - Earth Lusca Operations Analysis (2022)](https://www.trendmicro.com/content/dam/trendmicro/global/en/research/22/a/earth-lusca-employs-sophisticated-infrastructure-varied-tools-and-techniques/technical-brief-delving-deep-an-analysis-of-earth-lusca-operations.pdf) - [Trend Micro - Earth Lusca Linux Backdoor (2023)](https://www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html) - [Trend Micro - Taiwan Elections Lure (Dez 2023)](https://www.trendmicro.com/en_us/research/24/b/earth-lusca-uses-geopolitical-lure-to-target-taiwan.html) - [APT Encyclopedia - Earth Lusca](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Earth+Lusca)