g1022-toddycat - RunkIntel

# ToddyCat > [!warning] APT de Espionagem de Longo Prazo - Governo e Defesa na Ásia e Europa > ToddyCat (Storm-0247) é um grupo APT sofisticado descoberto pela Kaspersky em dezembro de 2020, com atribuição moderada a atores chineses. Especializado em comprometimentos de longo prazo e silenciosos contra entidades governamentais e militares na Ásia e Europa, o grupo utiliza um toolkit exclusivo baseado no **backdoor Samurai** e no **trojan Ninjá** - duas ferramentas não documentadas em nenhum outro grupo. Em 2021, o grupo explorou a **CVE-2021-26855 (ProxyLogon)** para comprometer dezenas de servidores Exchange em múltiplos países, e continua expandindo seu arsenal com novos loaders, ferramentas de coleta de arquivos e exfiltração via Dropbox/OneDrive. ## Visão Geral O **ToddyCat** permaneceu obscuro por tempo considerável - a Kaspersky não conseguiu vinculá-lo a grupos conhecidos na época de sua descoberta. Pesquisas mais recentes e a nomenclatura Storm-0247 da Microsoft sugerem atribuição a atores chineses, coerente com o perfil de alvos (Taiwan, Vietnam, Ásia Central) e setores de interesse (governo, defesa, telecomúnicações). Características operacionais que distinguem o grupo: - **Operações de longa duração**: o grupo se instala silenciosamente e coleta inteligência por meses ou anos antes de ser detectado - **Toolkit exclusivo**: Samurai backdoor e Ninjá trojan não têm equivalentes conhecidos em outros grupos - código desenvolvido internamente - **Abuso de serviços legítimos**: Dropbox (DropBox Uploader), OneDrive (Pcexter), SoftEther VPN e Ngrok como C2 encoberto - **Colaboração multi-operador**: Ninjá suporta múltiplos operadores no mesmo host simultaneamente - **ProxyLogon como vetor primário em 2021**: comprometimento de Exchange Servers em escala antes da aplicação de patches Nenhum código-fonte ou reuso de famílias conhecidas foi detectado nas ferramentas do grupo, sugerindo desenvolvimento próprio com capacidades técnicas avançadas. ## Attack Flow - Comprometimento de Servidores Exchange ```mermaid graph TB A["Acesso Inicial ProxyLogon CVE-2021-26855 ou Spearphishing T1566.003"] --> B["China Chopper Webshell Deploy em Exchange OWA T1505.003 webshell"] B --> C["Samurai Backdoor Persistência passiva ports 80/443 modular e furtivo"] C --> D["Ninjá Trojan Multi-operador em memoria file mgmt reverse shell proxy"] D --> E["Loaders Customizados Criptografia por GUID disco Persistência via servico Windows"] E --> F["Coleta de Dados LoFiSe arquivos WAExp dados WhatsApp"] F --> G["Exfiltração Cloud Dropbox ou OneDrive T1567.002"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#2980b9,color:#fff style G fill:#196f3d,color:#fff ``` ## Evolução do Arsenal ```mermaid timeline title ToddyCat - Evolução das Ferramentas 2020-12 : China Chopper + Samurai : ProxyLogon exploitation 2021-09 : Ninjá Trojan : Multi-operator framework 2023 : LoFiSe + Pcexter OneDrive : Novos loaders customizados 2024 : SSH tunneling via a.bat : SoftEther VPN + Ngrok + FRP : WAExp e Cuthead ``` ## Campanhas Documentadas | Data | Operação | Vitimas | Detalhe | |------|---------|---------|---------| | Dez 2020 | Primeiras atividades | Taiwan, Vietnam | Exchange Servers como alvo inicial | | Fev-Mar 2021 | ProxyLogon Campaign | 11+ países | Governo e militar Ásia e Europa | | Set 2021+ | Desktop Targeting | Ásia Central | Expansão para desktops corporativos | | Jun 2022 | Kaspersky Disclosure | (análise) | Samurai e Ninjá documentados públicamente | | Out 2023 | Novos loaders | Governos Ásia | LoFiSe, DropBox Uploader, Pcexter | | 2024 | SSH tunneling | Continua ativo | SoftEther VPN, Ngrok, FRP, WAExp | ## Arsenal Técnico | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s1099-samurai\|Samurai]] | Backdoor modular | Backdoor passivo em ports 80/443; execução de código; lateral movement | | [[ninjá\|Ninjá]] | Trojan multi-operador | Framework colaborativo: file mgmt, reverse shell, injeção de código, proxy | | [[s1101-lofise\|LoFiSe]] | Coleta de arquivos | Busca recursiva de arquivos de interesse por extensão/tipo | | [[s1102-pcexter\|Pcexter]] | Uploader OneDrive | Exfiltração de arquivos ZIP para OneDrive como C2 encoberto | | [[s0020-china-chopper\|China Chopper]] | Webshell | Acesso persistente via web shell em servidores Exchange | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Loader pré-Ninjá em algumas campanhas | | [[s0357-impacket\|Impacket]] | Framework de rede | Movimentação lateral em redes Windows | | Cuthead | Arquivo recursivo | Arquivamento de documentos de alvos específicos | | WAExp | Data stealer | Roubo de dados do WhatsApp via paths de browser | ## TTPs em Detalhe ### Acesso Inicial e Exploração - Exploração de ProxyLogon ([[cve-2021-26855|CVE-2021-26855]]) em servidores Microsoft Exchange ([[t1190-exploit-public-facing-application|T1190]]) - Spear-phishing via serviços legítimos ([[t1566-003-spearphishing-via-service|T1566.003]]) - Deploy de [[s0020-china-chopper|China Chopper]] webshell em diretórios públicos de Exchange ### Persistência e Evasão - Scheduled tasks ([[t1053-005-scheduled-task|T1053.005]]) para carregamento de Ninjá e SSH tunnels - Processos em jánelas ocultas ([[t1564-003-hidden-window|T1564.003]]) para execução furtiva - Descoberta de software de segurança ([[t1518-001-security-software-discovery|T1518.001]]) via wmic antes de ações ### Exfiltração Encoberta - DropBox Uploader e Pcexter para cloud storage ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) - SoftEther VPN e Ngrok para tunelamento de C2 - SSH na porta 22222 via Scheduled Task (script a.bat modificando ACLs) - FRP (Fast Reverse Proxy) como alternativa de C2 encoberto ## Relevância para o Brasil e LATAM > [!warning] Risco Indireto via Multinacionais e Missões Diplomáticas > ToddyCat tem foco confirmado em Ásia e Europa Oriental, sem campanhas documentadas contra alvos brasileiros ou latino-americanos. O risco para Brasil é baixo e indireto, mas presente em cenários específicos. Vetores de risco indireto: - **Multinacionais brasileiras com operações na Ásia**: empresas do setor de tecnologia e manufatura com operações em Taiwan, India, Tailândia, Vietnam cujas redes são interconectadas - **Missões diplomáticas**: embaixadas brasileiras em Taipei, Hanoi, Islamabad ou Moscou podem ser impactadas por comprometimentos de redes diplomáticas locais - **Exchange on-premise**: organizações brasileiras que ainda operam Exchange Server 2013-2019 sem patches completos estão vulneráveis ao vetor ProxyLogon Recomendações prioritárias: - Migrar Exchange on-premise para Exchange Online/Microsoft 365 - Monitorar conexões saindo para Dropbox, OneDrive e Ngrok de servidores - Implementar detecção de webshells em diretórios web de servidores Exchange ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Webshell China Chopper em diretórios OWA/Exchange | Monitoramento de integridade de arquivos em webdirs | | Processo wmic verificando `avp.exe` (Kaspersky) | Regra EDR para reconhecimento de AV via WMIC | | Conexões de saída para dropbox.com de servidores | Alertas para uploads de dados de servidores críticos | | Serviço Windows novo com path incomum | Monitoramento de criação de serviços Windows | | Tráfego UDP não-padrão de portas incomuns | Detecção de C2 por protocolo alternativo | | `a.bat` modificando permissões via icacls | Alertas para scripts modificando ACLs de sistema | | SSH em porta 22222 via Scheduled Task | SIEM: conexões SSH em portas não-padrão | ## Referências - [1](https://attack.mitre.org/groups/G1022/) MITRE ATT&CK - G1022 ToddyCat (2024) - [2](https://www.kaspersky.com/about/press-releases/toddycat-an-advanced-threat-actor-targets-high-profile-entities-with-new-malware) Kaspersky - ToddyCat APT Targets High-Profile Entities (Jun 2022) - [3](https://www.kaspersky.com/about/press-releases/kaspersky-reveals-evolving-tactics-of-toddycat-apt-group-in-ongoing-cyber-espionage-campaigns) Kaspersky - Evolving Tactics of ToddyCat APT (Out 2023) - [4](https://www.securityweek.com/new-toddycat-apt-targets-high-profile-entities-europe-asia/) SecurityWeek - New ToddyCat APT Targets Europe, Asia (Jun 2022) - [5](https://www.anvilogic.com/threat-reports/toddycat-apt-stealth-data-theft) Anvilogic - ToddyCat APT Advanced Techniques (2024) - [6](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=ToddyCat) ETDA Threat Group Cards - ToddyCat (2025) **Atores relacionados:** [[g0096-apt41|APT41]] · [[g0065-leviathan|Leviathan]] (similar foco governamental) **Malware e ferramentas:** [[s1099-samurai|Samurai]] · [[ninjá|Ninjá]] · [[s1101-lofise|LoFiSe]] · [[s0020-china-chopper|China Chopper]] **CVEs exploradas:** [[cve-2021-26855|CVE-2021-26855 ProxyLogon - Microsoft Exchange]] **TTPs principais:** [[t1190-exploit-public-facing-application|T1190]] · [[t1567-002-exfiltration-to-cloud-storage|T1567.002]] · [[t1053-005-scheduled-task|T1053.005]] · [[t1021-002-smbwindows-admin-shares|T1021.002]] **Setores alvejados:** [[government|Governo]] · [[defense|Defesa]] · [[military|Militar]] · [[telecommunications|Telecomúnicações]]