g1014-luminousmoth

# LuminousMoth > [!warning] APT Chinês com Escala Incomum - Governo do Sudeste Asiático > LuminousMoth é um grupo APT de língua chinesa descoberto pela Kaspersky em 2021, notável pela **escala de infecção incomum** para um ator de espionagem sofisticado: mais de 100 vítimas em Myanmar e quase 1.400 nas Filipinas em um único período de 7 meses - números raramente vistos em campanhas de espionagem estatal. O grupo usa propagação via pendrives USB para atingir alvos sem internet e roubo de cookies de sessão do navegador para acesso a contas de email e serviços web governamentais. Com sobreposição técnica e de alvos com [[g0129-mustang-panda|Mustang Panda]], o LuminousMoth é possívelmente um sub-grupo ou operação paralela do mesmo nexo de inteligência chinesa. ## Visão Geral O **LuminousMoth** foi documentado pela Kaspersky em julho de 2021, descrevendo campanhas ativas desde outubro de 2020. A característica mais incomum do grupo é a **escala de comprometimento**: em contraste com a seletividade típica de operações de espionagem, o grupo infectou centenas ou milhares de sistemas, sugerindo uma abordagem de "pesca com rede" seguida de seleção dos alvos mais relevantes. Análise técnica da Kaspersky revelou sobreposições significativas com o [[g0129-mustang-panda|Mustang Panda]] (HoneyMyte), incluindo uso do mesmo carregador PlugX, infraestrutura C2 compartilhada e foco geográfico idêntico no Sudeste Asiático. A relação exata entre os grupos - se são o mesmo ator sob nomes diferentes ou grupos distintos com compartilhamento de ferramentas - permanece objeto de debaté. Técnicas distintivas do grupo: - **USB spreading massivo**: o malware copia a si mesmo para todos os pendrives conectados ao sistema infectado, criando propagação orgânica em redes sem internet - **Cookie theft**: roubo sistemático de cookies de sessão de Chrome e outros browsers para acesso a contas sem necessidade de senha - **DLL sideloading**: uso de executáveis legítimos para carregar DLLs maliciosas - evasão eficaz de AV - **Exfiltração em partes**: transferência de dados em fragmentos ([[t1030-data-transfer-size-limits|T1030]]) para evitar alertas de volume anômalo ## Attack Flow - Espionagem com Propagação USB ```mermaid graph TB A["Acesso Inicial T1566.002 phishing link T1608.004 drive-by target"] --> B["Deploy PlugX T1574.001 DLL sideloading executável legítimo como loader"] B --> C["Persistência T1547.001 registry run T1564.001 hidden files"] C --> D["Propagação USB T1091 removable media cópia automática em pendrives"] D --> E["Coleta de Dados T1539 cookie theft T1005 local system files"] E --> F["Exfiltração Parcial T1030 size limits T1567.002 cloud storage"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#196f3d,color:#fff ``` ## Técnica USB Spreading em Detalhe ```mermaid graph TB A["Host comprometido com PlugX"] --> B["Pendrive USB conectado ao sistema infectado"] B --> C["PlugX copia arquivos para USB pasta oculta + autorun.inf ícone de pasta falsa"] C --> D["Usuário conecta USB em outro computador abre 'pasta' falsa"] D --> E["Novo host infectado mesmo PlugX C2 propagação orgânica"] E --> F["Alcança rede air-gapped ou hosts sem internet via cadeia de pendrives"] style A fill:#922b21,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#16a085,color:#fff style F fill:#196f3d,color:#fff ``` ## Campanhas e Atividade | Data | Campanha | Alvos | Detalhe | |------|---------|-------|---------| | Out 2020 | Campanha inicial | Myanmar, Filipinas | Primeiras infecções detectadas | | 2021 | Escala massiva | ~100 Myanmar; ~1.400 Filipinas | Infecções em entidades governamentais em escala incomum | | Jul 2021 | Kaspersky Disclosure | (pesquisa) | Análise técnica públicada; sobreposição com Mustang Panda identificada | | 2022 | Expansão ASEAN | Tailândia, Cambojá, Laos | Campanhas em governos ASEAN adicionais | | 2023-2024 | Continuidade | Sudeste Asiático | Novas variantes PlugX; foco se mantém | ## Arsenal Técnico | Ferramenta | Tipo | Características | |-----------|------|----------------| | [[s0013-plugx\|PlugX]] | RAT modular | Backdoor principal; DLL sideloading; módulos para keylogging, screen capture, file mgmt | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Usado em algumas operações para pós-exploração avançada | | Cookie Stealer | Script customizado | Roubo de cookies Chrome e Firefox para session hijacking | | USB Spreader | Propagação | Componente que replica PlugX em pendrives conectados | ## TTPs em Detalhe ### Acesso Inicial - Spear-phishing com link malicioso ([[t1566-002-spearphishing-link|T1566.002]]) - emails com links para download de documento governamental falso - Drive-by target ([[t1608-004-drive-by-target|T1608.004]]) - configuração de sites que exploram browsers de alvos específicos ### Execução e Persistência - DLL hijacking ([[t1574-001-dll|T1574.001]]) - binários legítimos assinados usados para carregar PlugX DLL maliciosa - Registry run keys ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) para persistência - Arquivos e diretórios ocultos ([[t1564-001-hidden-files-and-directories|T1564.001]]) para esconder payload ### Propagação e Coleta - Replicação via mídia removível ([[t1091-replication-through-removable-media|T1091]]) - cópia em todos os pendrives USB - Roubo de cookies de sessão ([[t1539-steal-web-session-cookie|T1539]]) de Chrome, Firefox e Edge - Coleta de dados do sistema local ([[t1005-data-from-local-system|T1005]]) - Exfiltração em partes ([[t1030-data-transfer-size-limits|T1030]]) e via cloud storage ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) ## Timeline ```mermaid timeline title LuminousMoth - Linha do Tempo 2020-10 : Início das infecções : Myanmar e Filipinas 2021-07 : Kaspersky documenta o grupo : 1.400+ infecções Filipinas 2022 : Expansão ASEAN : Tailândia, Cambojá, Laos 2023-2024 : Operações contínuas : Novas variantes PlugX ``` ## Relevância para o Brasil e LATAM > [!info] Risco Mínimo Direto - Oportunidade de Defesa Preventiva > LuminousMoth mantém foco regional estrito no Sudeste Asiático, sem campanhas documentadas contra Brasil ou LATAM. O risco direto é mínimo. Porém, a técnica de USB spreading é amplamente replicável e relevante para defesa de redes críticas brasileiras. Contextos de risco indireto: - **Empresas brasileiras com operações em ASEAN**: filiais em Filipinas, Tailândia ou Vietnam podem ser vetores de comprometimento que se propagam de volta para redes corporativas brasileiras via VPN - **Técnica de USB spreading**: o modelo de propagação via pendrive é altamente relevante para redes críticas brasileiras (Defesa, setor nuclear, infraestrutura industrial) que operam sistemas com restrição de internet Lição principal para defesa brasileira: a técnica de USB spreading do LuminousMoth (e [[s0452-usbferry|USBferry]] do Tropic Trooper) demonstram que **o controle rigoroso de dispositivos USB é indispensável** em ambientes críticos. Implementar bloqueio de USB não-autorizado, logs de conexão de pendrives e varredura automática de mídia removível. ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | PlugX DLL carregada por binário legítimo assinado | EDR: DLL load suspeita por processo com assinatura digital válida | | Criação de pasta oculta + autorun.inf em pendrive USB | EDR: monitoramento de escrita em dispositivos USB removíveis | | Acesso massivo a cookies de Chrome/Firefox de processo externo | EDR: acesso ao SQLite de cookies por processo não-browser | | Exfiltração para cloud storage em fragmentos pequenos | NDR: múltiplos uploads pequenos para mesmo destino cloud | | ARP cache poisoning em segmento de rede | NDR: gratuitous ARP replies de host não-router | | Cópia de executáveis para raiz de pendrive USB | EDR: processo copiando executáveis para drive removível | ## Referências - [1](https://attack.mitre.org/groups/G1014/) MITRE ATT&CK - G1014 LuminousMoth (2024) - [2](https://securelist.com/luminousmoth-plugx-file-exfiltration-and-persistence-revisited/103960/) Kaspersky Securelist - LuminousMoth: PlugX, File Exfiltration and Persistence Revisited (2021) - [3](https://www.bitdefender.com/blog/labs/new-luminousmoth-apt-large-scale-spearphishing-campaign-in-southeast-asia/) Bitdefender Labs - New LuminousMoth APT: Large-scale Spearphishing Campaign in Southeast Asia (2021) - [4](https://www.kaspersky.com/about/press-releases/2021_large-scale-espionage-campaign-of-east-asian-apt-group-luminousmoth-discovered) Kaspersky - Large-scale Espionage Campaign of LuminousMoth Discovered (2021) - [5](https://www.mandiant.com/resources/blog/suspected-apt-actor-leverages-plugx-targeting-southeast-asian-governments) Mandiant - Suspected APT Leverages PlugX Targeting Southeast Asian Governments (2022) **Atores relacionados:** [[g0129-mustang-panda|Mustang Panda]] (sobreposição técnica) · [[g0096-apt41|APT41]] **Malware e ferramentas:** [[s0013-plugx|PlugX]] · [[s0154-cobalt-strike|Cobalt Strike]] **Setores alvejados:** [[government|Governo]] · [[military|Militar]] · [[telecommunications|Telecomúnicações]]