g1049-applejeus - RunkIntel

# AppleJeus > [!warning] **AppleJeus** é um grupo de ameaça atribuído a **Coreia do Norte** ativo desde **2018**. ## Descrição AppleJeus é um grupo de ameaça norte-coreano patrocinado pelo Estado, atribuído ao Reconnaissance General Bureau (RGB) da República Popular Democrática da Coreia (DPRK). Operando sob o guarda-chuva mais amplo do [[g0032-lazarus-group|Lazarus Group]], o AppleJeus está ativo desde 2018 e compartilha recursos com o TEMP.Hermit, outro grupo afiliado à DPRK sob a mesma estrutura organizacional. A missão principal do grupo é **gerar e lavar receitas** para fornecer suporte financeiro ao regime norte-coreano, especialmente para financiar o programa de armas nucleares e contornar sanções internacionais. O AppleJeus tem como alvo primário a **indústria de criptomoedas** - exchanges, plataformas DeFi, fundos de venture capital e usuários individuais de alto patrimônio. **Também conhecido como:** Gleaming Pisces, Citrine Sleet, UNC1720, UNC4736, TEMP.Hermit ## Relevância LATAM O Brasil figura explicitamente entre os países-alvo do AppleJeus conforme mapeamento do MITRE ATT&CK. A atuação do grupo no setor de [[financial|criptomoedas e serviços financeiros]] representa uma ameaça direta ao crescente ecossistema cripto brasileiro, um dos maiores da América Latina em volume de transações. ## Campanhas Notáveis ### Operation AppleJeus (2018) Primeira campanha documentada pela Kaspersky. O grupo distribuiu aplicativos de trading de criptomoedas com trojan para macOS (Celas Trade Pro, JMT Trader, WbBot), infectando exchanges por meio de [[t1566-phishing|phishing]] direcionado. Descoberta em agosto de 2018 ao comprometer uma exchange de criptomoedas na Ásia. ### Operation AppleJeus Sequel (2020) Evolução da campanha inicial com mecanismos de autenticação adicionais para entrega de payload, dificultando a análise por pesquisadores. Manteve o vetor de apps de trading trojanizados para macOS. ### [[3cx-supply-chain-attack|3CX Supply Chain Attack]] (2023) O AppleJeus é responsável pelo comprometimento da cadeia de suprimentos da 3CX Commúnications, afetando mais de 600.000 empresas em todo o mundo. Utilizou [[t1195-002-supply-chain-compromise|comprometimento da cadeia de suprimentos]] para distribuir o instalador trojanizado do 3CX Desktop App. O incidente foi o primeiro caso documentado de um ataque de supply chain comprometendo outro ataque de supply chain (dependência X_TRADER da Trading Technologies também foi comprometida). ### BloxHolder Campaign (2022) Distribuição de aplicativo falso de criptomoedas (clone do HaasOnline) via instaladores MSI e documentos Microsoft Office com macros maliciosas. Técnicas avançadas incluíram DLL side-loading e payloads embutidos em arquivos PNG. ### Radiant Capital Incident (2024) Ataque atribuído ao AppleJeus envolvendo distribuição de malware via Telegram, com o agente de ameaça se passando por um contratado legítimo. Resultou em comprometimento da plataforma DeFi Radiant Capital. ## Técnicas MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Phishing | [[t1566-phishing\|T1566]] | Spearphishing com apps de trading trojanizados | | Financial Theft | [[t1657-financial-theft\|T1657]] | Roubo direto de ativos cripto de exchanges | | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Comprometimento de software (3CX, X_TRADER) | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de MAC address, nome do host, versão de SO | | Launchctl | [[t1569-001-launchctl\|T1569.001]] | Persistência em macOS via launchctl/plist | | Malicious Link | [[t1204-001-malicious-link\|T1204.001]] | Links spearphishing para sites maliciosos | ## Arsenal de Malware ### [[g1049-applejeus|AppleJeus Malware]] Família de downloader/backdoor com múltiplas variantes documentadas desde 2018. Versões macOS distribuídas em pacotes DMG/PKG (MacInstaller.dmg, JMTTrader_Mac.dmg); versões Windows (WFCUpdater.exe, UnionCryptoTraderSetup.exe). Capacidades incluem persistência, comunicação C2 e download de payloads secundários. ### [[s0181-fallchill|FALLCHILL]] RAT implantado como payload secundário pós-infecção inicial pelo AppleJeus. Capacidade de controle remoto completo do sistema comprometido. ### [[manuscrypt|Manuscrypt]] RAT associado ao cluster TraderTraitor, com sobreposição de operações com o AppleJeus. Utilizado em campanhas direcionadas a exchanges de criptomoedas via apps Windows/macOS trojanizados. ### DaclsRAT Backdoor descoberto em app trojanizado TinkaOTP (2023). Capacidade de execução de comandos remotos e exfiltração de dados. ## Setores Visados O AppleJeus concentra seus ataques principalmente no setor de [[financial|serviços financeiros]] e criptomoedas, com atividades documentadas em: - **Exchanges de criptomoedas** (alvo primário em todas as campanhas) - **Plataformas DeFi** (Radiant Capital, 2024) - **Fundos de venture capital** focados em cripto - **Governo e Defesa** (espionagem secundária) - **Tecnologia e telecomúnicações** (infraestrutura C2) - **Energia** (setor identificado em campanhas de espionagem) ## Relação com Outros Atores DPRK ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota. ```mermaid graph TB A[RGB - Reconnaissance General Bureau] --> B[Lazarus Group] B --> C[AppleJeus / Gleaming Pisces] B --> D[Bluenoroff] B --> E[Andariel] C --> F[3CX Supply Chain Attack 2023] C --> G[Operation AppleJeus 2018] D --> H[Ataques bancários SWIFT] E --> I[Ataques à saúde - COVID] ``` ## Países Alvejados | País | Relevância | |------|-----------| | EUA | Exchanges, empresas de cripto, governo | | Coreia do Sul | Exchanges locais, defesa | | **Brasil** | Exchanges, setor financeiro cripto | | Reino Unido | Exchanges, tech | | Austrália | Exchanges, governo | | Nova Zelândia | Serviços financeiros | ## Indicadores de Comprometimento (Referência Pública) > **AVISO TLP:** Apenas IoCs de fontes públicas autorizadas. Consultar US-CERT Advisory AA21-048A para lista completa de IoCs válidados. ## Referências - [MITRE ATT&CK - G1049](https://attack.mitre.org/groups/G1049/) - [Kaspersky - Operation AppleJeus (2018)](https://securelist.com/operation-applejeus/87553/) - [Kaspersky - Operation AppleJeus Sequel (2020)](https://securelist.com/operation-applejeus-sequel/95596/) - [Volexity - BloxHolder Campaign (2022)](https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/) - [US-CERT Advisory AA21-048A](https://www.cisa.gov/uscert/ncas/alerts/aa21-048a)