g1007-aoqin-dragon

# Aoqin Dragon ## Visão Geral **Aoqin Dragon** é um grupo de espionagem cibernética de língua chinesa descoberto públicamente pela SentinelOne em 2022, embora sua atividade remonte a **pelo menos 2013** - quase uma década de operações não detectadas. O grupo tem alvos exclusivos em **governo, educação e telecomúnicações** na Ásia-Pacífico, com foco geográfico em Austrália, Cambojá, Hong Kong, Singapura e Vietnã. O Aoqin Dragon é notável por duas características técnicas raras. Primeira: o uso de **dispositivos USB removíveis como vetor de infecção** - uma técnica de comprometimento de air-gaps e ambientes com restrições de internet que está sendo cada vez menos usada por grupos modernos. Segunda: o **Heyoka Backdoor**, uma versão modificada de uma ferramenta open-source que usa **DNS spoofing para criar um túnel bidirecional** - técnica extremamente sofisticada para C2 que imita resolução DNS legítima. A SentinelOne identificou conexão de **confiança moderada** entre o Aoqin Dragon e o **UNC94** da Mandiant, com base em sobreposição de malware, infraestrutura e perfil de alvos. **Também conhecido como:** Aoqin Dragon, G1007, UNC94 ## Attack Flow - Infiltração por USB e DNS Tunneling ```mermaid graph TB A["💾 Dispositivo USB Falso T1091 Removable Media Ícone de pasta/antivirus falso"] --> B["📄 Execução via DLL Hijack T1574.002 DLL Side-Loading Themida packing para evasão"] B --> C["🔒 Mongall Backdoor Persistência inicial Coleta de informações sistema"] C --> D["🔄 Propagação via USB T1570 Lateral Transfer Copia para mídias removíveis"] D --> E["🌐 Heyoka DNS Tunnel T1071.004 DNS protocol Tunel bidirecional furtivo"] E --> F["📤 Exfiltração de Dados Documentos govs sensíveis Comúnicações diplomaticas"] classDef usb fill:#c0392b,color:#fff,stroke:#922b21 classDef dll fill:#e74c3c,color:#fff,stroke:#c0392b classDef mongall fill:#e67e22,color:#fff,stroke:#d35400 classDef lateral fill:#8e44ad,color:#fff,stroke:#6c3483 classDef dns fill:#1a5276,color:#fff,stroke:#154360 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A usb class B dll class C mongall class D lateral class E dns class F exfil ``` > [!warning] Técnica USB - Comprometimento de Air-Gaps > O Aoqin Dragon usa dispostivos USB como vetor primário de infecção - uma técnica eficaz para comprometer redes isoladas (air-gapped). O malware se mascara como ícone de pasta ou software antivírus falso. Ambientes governamentais e militares com restrições de internet ainda são vulneráveis a este vetor se não houver política de uso de USB. ## Arsenal de Malware ### Mongall (Backdoor Principal - desde 2013) O [[s1026-mongall|Mongall]] é o backdoor original do Aoqin Dragon, usado continuamente desde 2013: - **Instalação:** via DLL hijacking - substitui DLLs legítimas por versões maliciosas que carregam o Mongall junto com o software legítimo - **Packing:** usa **Themida** para ofuscação e anti-análise - dificulta engenharia reversa e evasão de sandboxes - **Propagação:** copia a si mesmo para unidades removíveis conectadas ao sistema comprometido - **C2:** comunicação criptografada para infraestrutura de C2 controlada pelo grupo - **Capacidades:** coleta de informações do sistema, upload/download de arquivos, execução de comandos remotos ### Heyoka Backdoor (DNS Spoofing Bidirecional) O [[s1027-heyoka-backdoor|Heyoka Backdoor]] é a ferramenta mais sofisticada do Aoqin Dragon: ```mermaid graph TB A["Heyoka Init Deploy via Mongall Segunda etapa"] --> B["DNS Spoofing Setup Servidor DNS falso em infraestrutura atacante"] B --> C["Queries DNS Legitimas Cliente envia queries A resolver autorizado"] C --> D["Intercept e Resposta Heyoka responde com dados codificados"] D --> E["Tunel Bidirecional Dados exfiltrados em queries Comandos em respostas DNS"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#1a5276,color:#fff style D fill:#8e44ad,color:#fff style E fill:#196f3d,color:#fff ``` **Funcionamento do DNS Spoofing no Heyoka:** - O Aoqin Dragon modifica o arquivo `hosts` ou configurações DNS no sistema comprometido - Queries DNS para domínios específicos são redirecionadas para servidor C2 do grupo - O servidor C2 **responde como se fosse o resolver legítimo** - com IPs válidos misturados a dados codificados - Dados do agente são enviados no campo de subdomínio das queries - Comandos são retornados nas respostas como registros DNS modificados - O tráfego parece ser resolução DNS normal - detecção exige análise de anomalia de TTL e padrão de queries **Diferença do DNS tunneling convencional:** | Técnica | Aoqin Dragon Heyoka | DNS Tunneling Convencional | |---------|---------------------|--------------------------| | Servidor C2 | Simula resolver legítimo | Responde como autoridade direta | | Queries | Requests normais com dados em subdomínio | Queries a domínio C2 explícito | | Detecção | Mais difícil - parece resolução legítima | Mais fácil - domínio C2 visível | | Bidirecionamento | Sim - dados em query e resposta | Parcial em implementações básicas | ## Conexão com UNC94 e Perfil Geopolítico ```mermaid graph TB A["Aoqin Dragon SentinelOne ID 2022 Ativo desde 2013"] --> B["UNC94 Mandiant tracking Confianca moderada"] A --> C["Alvos Govs Australia Cambodia Hong Kong Vietnam"] A --> D["Infraestrutura Servidores compartilhados Asia-Pacifico"] B --> E["Interesses China Vigilancia politica Fronteiras regionais"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#1a5276,color:#fff style D fill:#8e44ad,color:#fff style E fill:#196f3d,color:#fff ``` **Por que esses alvos geográficos?** - **Cambojá e Vietnã:** países vizinhos com disputas territoriais e estrategias de alinhamento com China no contexto da ASEAN - **Austrália:** alvo de crescente atividade de APT chinês em contexto de tensões comerciais e de segurança da Aliança dos Cinco Olhos - **Hong Kong e Singapura:** centros financeiros e hubs de inteligência para monitoramento de atividades pró-democracia e expatriados chineses ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Arquivos com ícone falso em USB para enganar usuários | | Replication Through Removable Media | [[t1091-replication-through-removable-media\|T1091]] | USB como vetor de infecção inicial e propagação | | DLL Side-Loading | [[t1574-002-dll-side-loading\|T1574.002]] | Mongall carregado via hijack de DLL legítima | | Software Packing | [[t1027-002-software-packing\|T1027.002]] | Themida para ofuscação anti-análise | | Lateral Tool Transfer | [[t1570-lateral-tool-transfer\|T1570]] | Mongall propaga para mídias removíveis conectadas | | DNS (Application Layer Protocol) | [[t1071-004-dns\|T1071.004]] | Heyoka usa DNS para C2 bidirecional | | DNS Calculation | [[t1568-003-dns-calculation\|T1568.003]] | Heyoka calcula endereços C2 via DNS spoofing | | File and Directory Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeração de documentos sensíveis | | Masquerading | [[t1036-masquerading\|T1036]] | Ícone falso de pasta e antivírus em USB | ## Linha do Tempo Operacional | Período | Atividade | Detalhe | |---------|-----------|---------| | 2013-2015 | Operações iniciais com Mongall | Alvos Cambojá e Hong Kong, USB como vetor | | 2015-2018 | Expansão para Austrália e Vietnã | Telecomúnicações e governo | | 2018-2022 | Introdução do Heyoka | DNS spoofing como evolução de C2 | | 2022 | Descoberta pública pela SentinelOne | Grupo documentado após ~9 anos de operação | ## Relevância para o Brasil e LATAM O Aoqin Dragon opera **exclusivamente na Ásia-Pacífico** - sem evidência de campanhas contra o Brasil ou LATAM. A relevância direta ao Brasil é baixa, mas os TTPs são pedagogicamente importantes: **Lições técnicas aplicáveis ao Brasil:** - **Política de dispositivos USB:** o vetor de USB removível é relevante em ambientes industriais brasileiros (usinas, plataformas petrolíferas, infraestrutura crítica) que operam com restrições de internet - política de controle de USB é defesa prioritária - **DLL Hijacking + Themida:** técnica crescente em campanhas que afetam o Brasil - detecção requer monitoramento de DLL loads anômalas em processos legítimos - **DNS anomaly detection:** o Heyoka demonstra que DNS é vetor de C2 cada vez mais sofisticado - organizações brasileiras devem implementar análise de TTL, frequência e padrão de queries DNS > [!info] Persistência de Longo Prazo > O Aoqin Dragon operou por quase 9 anos sem detecção pública. Este é um lembrete de que a ausência de IoCs conhecidos não significa ausência de comprometimento. Organizações em setores estratégicos brasileiros (governo, telecomúnicações) devem considerar caça proativa de ameaças em vez de depender exclusivamente de alertas de AV/EDR. ## Referências - [1](https://attack.mitre.org/groups/G1007/) MITRE ATT&CK - Aoqin Dragon G1007 - [2](https://www.sentinelone.com/labs/aoqin-dragon-newly-discovered-chinese-linked-apt-has-been-quietly-spying-on-organizations-for-10-years/) SentinelOne - Aoqin Dragon: Newly Discovered Chinese-Linked APT (2022) - [3](https://www.therecord.media/aoqin-dragon-chinese-linked-apt-decade-long-espionage) The Record - Aoqin Dragon: Chinese-Linked APT With Decade-Long Espionage (2022) - [4](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Aoqin+Dragon) ETDA Thailand - Aoqin Dragon Threat Group Card - [5](https://www.securityweek.com/aoqin-dragon-chinese-cyberespionage-group-decade-old-campaigns/) SecurityWeek - Aoqin Dragon: Chinese Cyberespionage Group With Decade-Old Campaigns (2022) - [6](https://www.darkreading.com/threat-intelligence/aoqin-dragon-linked-chinese-apts-removable-device) Dark Reading - Aoqin Dragon: Chinese APT Using Removable Devices (2022)