g1023-apt5 - RunkIntel

# APT5 > [!danger] Grupo de Alto Risco para Infraestrutura de Rede > **APT5** (Mulberry Typhoon / UNC2630) é um dos grupos de espionagem chineses mais técnicamente sofisticados, especializado em **exploração de vulnerabilidades em dispositivos de rede e VPNs**. O grupo é conhecido por desenvolver ou adquirir exploits **zero-day para Citrix, Pulse Secure e F5** - infraestrutura usada globalmente por empresas de telecomúnicações, defesa e aeroespacial. Ativo desde 2007, representa ameaça persistente de longa duração com dwell time de meses a anos. ## Visão Geral **APT5** é um grupo de espionagem cibernetica chinês ativo desde pelo menos **2007**, com foco persistente em **infraestrutura de rede e dispositivos de borda** (VPNs, balanceadores de carga, proxies reversos). O grupo é amplamente atribuído ao **PLA ou serviços de inteligência chineses**, com alvos concentrados em telecomúnicações, aeroespacial e defesa - os setores de maior interesse estratégico para a China. **Visão geral:** - Ativo desde: **2007** com operações contra telecomúnicações e aeroespacial - Motivação: **espionagem estratégica** - coleta de inteligência de defesa e propriedade intelectual - Especialidade técnica: **exploits zero-day para dispositivos de borda de rede** (Citrix ADC, Pulse Secure, F5 BIG-IP) - Dwell time documentado: **meses a anos** dentro de redes comprometidas - Modus operandi único: compromete o **proprio software de gerenciamento de rede** via Skeleton Key/PACEMAKER para persistência inadetectavel - Confirmado como ameaça pelo NSA, Mandiant, Palo Alto Unit 42 **Diferencial critico:** ao contrário de grupos que usam malware customizado pós-exploração, o APT5 frequentemente **modifica binários legítimos de software de rede** (Timestomp, Compromise Host Binary) para se tornar quase indistinguível de trafego e processos normais de administração. ## Campanhas Documentadas ### APT5 Pulse Secure VPN Exploitation - 2021 Exploração de múltiplas vulnerabilidades nos servidores VPN Pulse Secure para acesso inicial a redes de defesa e governo nos EUA e aliados. O NSA públicou advisory NSA-CISA-FBI (Maio 2021) específicamente sobre o APT5 explorando falhas no Pulse Connect Secure. O grupo instalava **SLOWPULSE** (implante para interceptação de credenciais) diretamente no firmware do VPN. ### SPACEHOP Activity - 2022 Campanha documentada pela Mandiant focada em comprometimento de gateways de rede para acesso a redes de defesa do Indo-Pacifico. O grupo usou o malware **PACEMAKER** como ferramenta de keylogging persistente em dispositivos de borda. ### APT5 Citrix ADC Zero-Day - 2022 a 2023 Exploração de vulnerabilidades no Citrix Application Delivery Controller (Citrix ADC), incluindo zero-days antes da divulgação pública. Alvos incluíam provedores de serviços gerenciados (MSPs) nos EUA e Europa, usando-os como trampolins para acessar clientes de defesa e governo. ### Campanha F5 BIG-IP - 2022 NSA e CISA emitiram advisory conjunto alertando que o APT5 estava ativamente explorando CVEs críticos no F5 BIG-IP antes de patches disponíveis. Alvos incluíam entidades governamentais dos EUA e contratantes de defesa. ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s1113-rapidpulse\|RAPIDPULSE]] | Webshell | Webshell em dispositivos Pulse Secure para acesso persistente | | [[s1104-slowpulse\|SLOWPULSE]] | Interceptação | Implante em firmware VPN para captura de credenciais de autenticação | | [[slightpulse\|SLIGHTPULSE]] | Webshell | Variante de webshell para Pulse Secure - menor footprint | | [[s1109-pacemaker\|PACEMAKER]] | Keylogger | Keylogging persistente em dispositivos de borda de rede | | [[s0007-skeleton-key\|Skeleton Key]] | Credential Tool | Bypass de autenticação de domínio - "esqueleto" para qualquer senha | | [[s0012-poisonivy\|PoisonIvy]] | RAT | Acesso remoto full-featured para fases pós-exploração | | [[s1050-pcshare\|PcShare]] | RAT | Implante de fase secundaria com capacidades de controle remoto | | [[mimikatz\|Mimikatz]] | Credential Dumping | Extração de credenciais de memória em hosts Windows comprometidos | ## Attack Flow - Exploração de VPN/Borda de Rede ```mermaid graph TB A["🌐 Alvo: Dispositivo de borda VPN / Citrix ADC / F5 Exposição à internet"] --> B["💥 Zero-Day Exploit Pulse Secure / Citrix / F5 T1190 - T1059"] B --> C["🐚 Webshell Instalada RAPIDPULSE / SLIGHTPULSE T1505.003 - Acesso persistente"] C --> D["⌨️ Interceptação de Credenciais SLOWPULSE / PACEMAKER T1056.001 - Keylogging no firmware"] D --> E["🔑 Escalação de Privilégios Skeleton Key / Mimikatz T1003.001/002"] E --> F["🕵️ Reconhecimento Interno T1057 - T1654 - Log enum Mapeamento de rede"] F --> G["📤 Exfiltração Longa Duração T1074 Data Staging T1560 Archive + exfil"] ``` ## Timeline do Grupo ```mermaid timeline title APT5 - Linha do Tempo 2007 : Primeiras operações documentadas : Foco em telecomúnicações e defesa 2013 : Expansão para alvos aeroespaciais : Múltiplos continentes atingidos 2019 : Exploração de Citrix NetScaler (CVE-2019-19781) : Comprometimento de MSPs como trampolim 2021 : Pulse Secure VPN zero-days (NSA Advisory) : SLOWPULSE instalado em firmware : SPACEHOP Activity documentada 2022 : Citrix ADC zero-days : F5 BIG-IP exploitation : Advisory NSA-CISA-FBI conjunto 2026 : Atividade contínua - novos alvos de VPN ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | Zero-days em Citrix, Pulse Secure, F5 BIG-IP | | Persistence | Compromise Host Software Binary | [[t1554-compromise-host-software-binary\|T1554]] | Modificação de binários legítimos de dispositivos de rede | | Credential Access | Keylogging | [[t1056-001-keylogging\|T1056.001]] | PACEMAKER/SLOWPULSE para captura de credenciais VPN | | Credential Access | LSASS Memory | [[t1003-001-lsass-memory\|T1003.001]] | Mimikatz para dump de credenciais de memória LSASS | | Defense Evasion | Timestomp | [[t1070-006-timestomp\|T1070.006]] | Alteração de timestamps para dificultar análise forense | | Defense Evasion | Indicator Blocking | [[t1562-006-indicator-blocking\|T1562.006]] | Bloqueio de telemetria de segurança e logs | | Collection | Local Data Staging | [[t1074-001-local-data-staging\|T1074.001]] | Staging de dados coletados antes da exfiltração | | Persistence | Cron | [[t1053-003-cron\|T1053.003]] | Persistência em dispositivos Linux via tarefas Cron | ## Relevância para o Brasil e LATAM > [!warning] Risco Crítico para Telecomúnicações e Defesa > O APT5 foca exatamente nos setores que definem a infraestrutura critica do Brasil: **telecomúnicações e defesa**. Operadoras como Vivo (Telefonica), Claro e TIM usam extensivamente Citrix ADC, F5 e VPNs Pulse Secure em suas redes de gestão - o vetor preferido do grupo. O programa de defesa brasileiro (SISFRON, F-X2, submarinos nucleares) envolve contratantes com infraestrutura VPN/Citrix que são o perfil exato de alvo do APT5. **Vetores de risco para o Brasil:** - **Operadoras de telecomúnicações**: infraestrutura Citrix ADC e F5 BIG-IP amplamente usada em redes de gestão de Vivo, Claro e TIM são vetores documentados do APT5 - **Contratantes de defesa**: empresas como Embraer Defesa, Avibras, Imbel e parceiros internacionais (Boeing, Saab) com operações no Brasil utilizam VPNs Pulse Secure para acesso remoto - **Provedores de serviços gerenciados (MSPs)**: MSPs brasileiros que gerenciam redes de defesa e governo são vetores de island-hopping clássicos para o grupo - **Agencias governamentais**: Ministério da Defesa, ABIN, Receita Federal com conectividade VPN para parceiros internacionais **Recomendações urgentes:** - Auditar e atualizar **todos** os dispositivos Citrix ADC, F5 BIG-IP e Pulse Secure - verificar específicamente CVEs de 2021-2023 - Implementar monitoramento de integridade de binários em dispositivos de borda de rede - Verificar presença de webshells em sistemas Pulse Secure via verificação de integridade de firmware - Habilitar logging detalhado de autenticação VPN e monitorar por padrões anomalos ## Detecção **Indicadores técnicos:** - Presença de arquivos `.cgi` ou `.aspx` incomuns em diretorios de sistema de dispositivos de rede - Processos com timestamps modificados (`Timestomp`) em sistemas de borda - Conexões outbound incomuns de dispositivos VPN para IPs externos - Modificação de arquivos de configuração de sistema em dispositivos Citrix/Pulse/F5 - Criação de contas locais (`T1136.001`) em dispositivos de rede sem ticket de mudança **Ferramentas de detecção:** - NSA Pulse Secure Integrity Checker Tool (disponível públicamente) - Yara rules para RAPIDPULSE, SLOWPULSE e variantes (públicadas pela Mandiant) - Monitoramento de integridade de firmware via hashes verificados pelo vendor - SIEM com alertas para acesso a `management plane` de dispositivos de borda fora do horario habitual ## Referências - [1](https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2573613/nsa-and-partners-release-cybersecurity-advisory-on-new-nation-state-activity/) NSA/CISA/FBI - PRC State-Sponsored Cyber Activity (2022) - [2](https://attack.mitre.org/groups/G1023) MITRE ATT&CK - APT5 (G1023) - [3](https://www.mandiant.com/resources/blog/apt5-citrix-adc-zero-day) Mandiant - APT5 Citrix ADC Zero-Day (2022) - [4](https://www.mandiant.com/resources/blog/suspected-apt-targets-pulse-secure) Mandiant - APT Targets Pulse Secure VPN (2021) - [5](https://unit42.paloaltonetworks.com/apt5-mulberry-typhoon-espionage/) Unit 42 - Mulberry Typhoon Profile (2023) **Atores relacionados:** [[g1017-volt-typhoon|Volt Typhoon]] · [[g1045-salt-typhoon|Salt Typhoon]] · [[g0006-apt1|APT1]] · [[g0096-apt41|APT41]] **Campanhas:** [[spacehop-activity|SPACEHOP Activity]] · [[apt5-vpn-exploitation-2021|Pulse Secure VPN Exploitation 2021]] **Malware e ferramentas:** [[s1113-rapidpulse|RAPIDPULSE]] · [[s1104-slowpulse|SLOWPULSE]] · [[s1109-pacemaker|PACEMAKER]] · [[s0007-skeleton-key|Skeleton Key]] · [[mimikatz|Mimikatz]] **TTPs principais:** [[t1190-exploit-public-facing-application|T1190]] · [[t1554-compromise-host-software-binary|T1554]] · [[t1056-001-keylogging|T1056.001]] · [[t1070-006-timestomp|T1070.006]] **Setores alvejados:** [[telecommunications|Telecomúnicações]] · [[aerospace|Aeroespacial]] · [[defense|Defesa]] · [[government|Governo]]