g1034-daggerfly - RunkIntel

# Daggerfly ## Visão Geral **Daggerfly** (MITRE G1034), também rastreado como **Evasive Panda**, **BRONZE HIGHLAND** e **StormBamboo**, e um grupo de ciberespionagem de origem chinesa ativo desde pelo menos **2012** com um mandato duplo: **espionagem internacional** contra governos e organizacoes estratégicas, e **vigilancia interna** contra minorias etnicas - notavelmente tibetanos - dentro e fora da China. O grupo e técnicamente distinto por tres caracteristicas. Primeira: o uso exclusivo do **[[s1146-mgbot|MgBot]]** - um backdoor modular de arquitetura customizada que e o "fingerprint" tecnico definitivo do grupo, pois nenhum outro APT o utiliza. Segunda: dominio de **ataques adversario-no-meio (AitM)** via **envenenamento de DNS**, permitindo comprometer vias de atualização de software legitimo sem tocar no servidor da empresa alvo. Terceira: **cobertura multiplataforma genuina** - o grupo desenvolveu malware para Windows, macOS, Linux, Android, iOS e Solaris, todos derivados de uma **biblioteca de código compartilhada** - um nivel de investimento em engenharia raro mesmo entre APTs avancados. Em **2024**, a Symantec documentou que o Daggerfly tinha **atualizado extensivamente seu arsenal** - incluindo a atribuicao do backdoor macOS **Macma** (primeiro documentado pelo Google em 2021) ao grupo, confirmada por infraestrutura C2 compartilhada com dropper MgBot. Em **dezembro de 2025**, a Kaspersky documentou campanhas de DNS poisoning ativas de **novembro 2022 a novembro 2024** contra vitimas na Turquia, China e India. > [!warning] Vigilancia Contra Propria Populacao > Daggerfly e um dos raros APTs com mandato documentado de **vigilancia de cidadaos chineses no exterior** - notavelmente tibetanos, que foram alvejados durante o festival religioso Monlam (2023). O grupo compromete dispositivos de individuos em India, Taiwan, Australia e EUA que participam de eventos religiosos/culturais tibetanos - indicando um brazo de vigilancia interna do MSS ou instrucoes diretas do Estado. ## Atribuicao | Atributo | Detalhe | |---------|---------| | Origem | China - alinhamento MSS ou PLA (nao confirmado públicamente) | | Ativo desde | 2012 | | Mandato | Espionagem internacional + vigilancia de minorias (tibetanos, uigures) | | Assinatura técnica | MgBot - uso exclusivo desde 2012 | | Rastreamento ESET | Evasive Panda | | Rastreamento Symantec | Daggerfly | | Rastreamento Trend Micro | BRONZE HIGHLAND | | Rastreamento Volexity | StormBamboo | ## Attack Flow - DNS Poisoning via Atualização de Software ```mermaid graph TB A["Comprometimento ISP Acesso ao resolvedor DNS do provedor de internet da vitima"] --> B["Envenenamento DNS Requisicao de update Tencent QQ redireciona para servidor atacante"] B --> C["Entrega Malicious Updater sohuva_update_exe falso ou iQIYI Video / IObit / CorelDraw"] C --> D["Loader Stage 1 C++ com Windows Templaté Library descriptografa configuração cifrada"] D --> E["MgBot Stage 2 Injetado em svchost.exe sem tocar disco - fileless"] E --> F["Espionagem Persistente 12+ plugins modulares keylog, audio, credenciais, clipboard"] style A fill:#1a3a5c,color:#fff style B fill:#c0392b,color:#fff style C fill:#8e44ad,color:#fff style D fill:#d68910,color:#fff style E fill:#2c5282,color:#fff style F fill:#196f3d,color:#fff ``` ## MgBot - O Backdoor Exclusivo O [[s1146-mgbot|MgBot]] e o ativo tecnico central do Daggerfly - em desenvolvimento continuo desde **2012** e **exclusivamente** associado ao grupo. Arquitetura modular permite que o grupo adicione capacidades via plugins carregados em memoria: | Plugin | Capacidade | |--------|-----------| | Keylogger | Captura teclas, senhas, texto digitado | | Audio Recorder | Microfone do sistema - escuta ambiente | | Clipboard | Intercepta conteudo da area de transferencia | | Credential Stealer | Navegadores, cofres de senha, sistema | | Network Scanner | Mapeamento de rede interna | | Screen Capture | Screenshots periódicos ou sob demanda | | File Harvester | Coleta de documentos por extensao/path | A **versao 2024** do MgBot usa criptografia customizada DPAPI+RC5 que vincula o payload cifrado ao sistema específico infectado - impossibilitando análise fora do ambiente original. ## Arsenal Multiplataforma O que distingue o Daggerfly e a **biblioteca de código compartilhada** que serve de base para malware em todos os sistemas operacionais: ```mermaid graph TB subgraph "Biblioteca Compartilhada Daggerfly" L["Framework interno código C/C++ base"] end subgraph "Windows" W1["MgBot Backdoor primario modular"] W2["Nightdoor/Suzafk Backdoor TCP ou OneDrive C2"] end subgraph "macOS" M1["MacMa Backdoor macOS - 2019+"] end subgraph "Mobile e Outros" O1["Android APKs Trojaneados Interceptador de SMS"] O2["Solaris malware Infraestrutura Unix critica"] O3["Linux implants Servidores e IoT"] end L --> W1 L --> W2 L --> M1 L --> O1 L --> O2 L --> O3 ``` ## Campanhas Principais | Período | Campanha | Alvos | Técnica | Descoberta por | |---------|---------|-------|---------|---------------| | 2020-2022 | Tencent QQ / Weixin updates | Individuos na China | AitM via QQ software update | ESET 2023 | | 2022-2023 | Africa Telecom | Operadora telecom Africa | AnyDesk inicial + MgBot plugins | Symantec 2023 | | 2022-2023 | Nightdoor Korea/Taiwan | Fabricante chips Korea, ONG religiosa Taiwan | Nightdoor + MgBot | ESET 2024 | | 2023 | Monlam Festival Tibetans | Tibetanos em India, Taiwan, HK, Australia, EUA | Watering hole + supply chain | ESET 2024 | | 2023 | IObit/CorelDraw AitM | Turquia, Quirguistao | AitM via software update | ESET 2024 | | 2022-2024 | DNS Poisoning campaign | Turquia, China, India | DNS poisoning direto via ISP | Kaspersky 2025 | | 2024 | Taiwan + ONG americana | Organizacoes em Taiwan e EUA | Arsenal atualizado com Macma v2 | Symantec 2024 | ## Técnica Exclusiva - AitM por DNS Poisoning A campanha de 2022-2024 documentada pela Kaspersky revelou a maturidade do Daggerfly em **comprometer ISPs** para envenenar respostas DNS: 1. O atacante compromete o **resolvedor DNS do ISP** da vitima 2. Quando a vitima faz uma requisicao de atualização de software legitimo (Tencent QQ, IObit, iQIYI Video), a resposta DNS aponta para servidor do atacante 3. O instalador falso e **identico em aparencia** ao legítimo - diferenca e o payload embutido 4. O payload e criptografado com DPAPI+RC5 e **vinculado ao sistema específico** - impossibilitando análise em sandbox 5. Stage final e o MgBot injetado em `svchost.exe` - completamente fileless Esta técnica **nao requer interação do usuario alem do clique normal em "atualizar"** - sofisticacao operacional de nivel top-tier. ## Técnicas Utilizadas - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] - [[t1587-002-code-signing-certificates|T1587.002 - Code Signing Certificates]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1036-003-rename-legitimate-utilities|T1036.003 - Rename Legitimaté Utilities]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1195-002-compromise-software-supply-chain|T1195.002 - Compromise Software Supply Chain]] - [[t1574-001-dll|T1574.001 - DLL Sideloading]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1584-004-server|T1584.004 - Server]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] ## Software Utilizado - [[s1146-mgbot|MgBot]] - [[s1147-nightdoor|Nightdoor]] - [[s1016-macma|MacMa]] - [[s0013-plugx|PlugX]] - [[s0190-bitsadmin|BITSAdmin]] ## Relevância para o Brasil e LATAM > [!warning] Risco Moderado - Via Supply Chain de Software e Setores Estratégicos > O Daggerfly representa risco **moderado mas crescente** para o Brasil. A expansao geografica documentada (Africa 2022-2023, Turquia/Quirguistao, EUA) e o arsenal multiplataforma sugerem capacidade de operar em qualquer regiao sob instrução estratégica. **Vetores de risco para o Brasil:** - **Comprometimento de ISPs via DNS**: a técnica de envenamento DNS em ISP e **escalavel** - qualquer ISP com segurança insuficiente em seus resolvedores DNS e potencial vetor. ISPs brasileiros de medio porte raramente auditam integridade de resolvedores - **Supply chain de software**: atualizacoes automaticas de software sao a superficie de ataque. Softwares de origem chinesa (Tencent QQ, plataformas de video) usados por comunidade academica, empresarial ou de pesquisa brasileira representam risco específico - **ONGs e organizacoes religiosas**: o Daggerfly já demonstrou interesse específico em organizacoes religiosas (tibetanas) e ONGs - perfil abundante no Brasil, incluindo organizacoes com conexoes a comunidades asiaticas - **Cobertura multiplataforma**: O arsenal macOS, Android e Linux significa que sistemas nao-Windows **nao estao protegidos** - uma falsa sensacao de segurança comum em ambientes corporativos brasileiros que usam MacBooks ou Linux - **Monitoramento DNS**: implementar **DNS-over-HTTPS (DoH)** ou verificação de integridade de DNS e a contramedida mais critica contra a técnica primaria do grupo ## Referências - [MITRE ATT&CK - Daggerfly (G1034)](https://attack.mitre.org/groups/G1034/) - [ESET - Evasive Panda Tibetan Targets / Nightdoor (March 2024)](https://www.welivesecurity.com/) - [Symantec - Daggerfly Upgraded Toolkit All OS (July 2024)](https://symantec-enterprise-blogs.security.com/) - [Kaspersky - Evasive Panda DNS Poisoning 2022-2024 (December 2025)](https://securelist.com/) - [Volexity - StormBamboo ISP Compromise (August 2024)](https://www.volexity.com/) - [ESET - Evasive Panda AitM MgBot Nightdoor (BotConf 2024)](https://www.botconf.eu/)