ta2722 - RunkIntel

# TA2722 > [!warning] Ator de Phishing com Identidade Filipina - Balikbayan Foxes > TA2722, apelidado de "Balikbayan Foxes" pela Proofpoint, é um grupo de ameaça financeiramente motivado que opera campanhas de phishing em massa se passando por entidades governamentais filipinas. Distribui RATs commodity como Remcos, NanoCore e Warzone em campanhas que afetam especialmente setores de logística, manufatura e energia na América do Norte, Europa e Sudeste Asiático. ## Visão Geral **TA2722**, rastreado pela Proofpoint como "Balikbayan Foxes", é um ator de ameaça cibercriminal identificado em 2021 após uma série de campanhas de spear-phishing usando lures relacionados ao governo das Filipinas. O grupo se distingue pela personificação consistente de múltiplas agências governamentais filipinas: o Departamento de Saúde (DOH), a Administração Filipina de Emprego no Exterior (POEA), o Bureau de Alfândegas (Bureau of Customs - CPRS) e a embaixada da Arabia Saudita em Manila. A atividade rastreada pela Proofpoint indica que TA2722 está operando desde pelo menos **dezembro de 2019**, com ressurgimento de atividade em setembro de 2021 após um período de quiescência em 2020. O histórico extenso sugere um ator estabelecido e persistente, não uma operação de curto prazo. O arsenal do grupo consiste em RATs commodity ([[remcos-rat|Remcos RAT]], [[nanocore-rat|NanoCore RAT]] e [[warzone-rat|Warzone RAT]]) - ferramentas de baixo custo e alta disponibilidade que proporcionam acesso remoto completo, keylogging, captura de tela e roubo de credenciais. A escolha de RATs commodity é consistente com um ator financeiramente motivado buscando custo-benefício operacional, embora dificulte a atribuição precisa por compartilhar indicadores com outros grupos. O targeting prioritário de setores de **logística, transporte marítimo e manufatura** sugere interesse em dados comerciais e de cadeia de fornecimento - informações de alto valor econômico que podem ser revendidas ou usadas para fraude e comprometimento de e-mail corporativo (BEC). ## Attack Flow - Phishing com Lures Filipinos ```mermaid graph TB A["📧 Spear-Phishing Email fingindo ser DOH, POEA ou Bureau of Customs Filipino"] --> B["📎 Entrega de Payload OneDrive URLs com RAR PDF com links maliciosos Excel com macros"] B --> C["💥 Execução T1204.002 - Usuário abre arquivo Macro ou UUE executa RAT"] C --> D["🔧 Persistência RAT instalado em AppData Registro de execução automática"] D --> E["📡 C2 DDNS shahzad73.ddns.net shahzad73.casacam.net"] E --> F["🔑 Coleta e Exfiltração Credenciais - keylog Screenshots - dados corporativos"] ``` **Legenda:** [[remcos-rat]] · [[nanocore-rat]] · [[warzone-rat]] ## Campanhas Identificadas ### Cluster Shahzad73 (2021) Proofpoint identificou o primeiro cluster a partir do padrão de domínios C2 contendo o termo "shahzad73": - C2: `shahzad73[.]ddns[.]net` e `shahzad73[.]casacam[.]net` - Técnica: emails com attachments UUE ou RAR contendo executáveis maliciosos - Malware: [[remcos-rat|Remcos RAT]] como payload principal - Alvos: Shipping/Logistics, Manufacturing, Energy em América do Norte e Europa ### Cluster CPRS (2019-2021) O segundo cluster foi identificado pela personificação recorrente do Bureau of Customs CPRS filipino: - Temas: fatura, transporte, financeiro, COVID-19 sob DOH - Alcance: ~150 clientes globalmente afetados - Histórico: ativo desde pelo menos dezembro 2019 com múltiplas campanhas por mês ## Arsenal e Infraestrutura ```mermaid graph TB TA2722["🎭 TA2722 / Balikbayan Foxes Phishing gov. filipinas RATs commodity"] --> REMCOS["Remcos RAT RAT principal C2 via DDNS"] TA2722 --> NANO["NanoCore RAT Escrito em .NET Obfuscated com Eazfuscator"] TA2722 --> WZ["Warzone RAT C++ - porta TCP 5200 Features avançadas"] REMCOS -.->|"C2"| DDNS["DDNS Domains shahzad73.ddns.net shahzad73.casacam.net"] NANO -.->|"C2"| DDNS ``` **Legenda:** [[remcos-rat]] · [[nanocore-rat]] · [[warzone-rat]] ## TTPs Mapeados ao MITRE ATT&CK | Tática | Técnica | ID | Uso | |--------|---------|-----|-----| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Emails com UUE, RAR, PDF, Excel maliciosos | | Initial Access | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | OneDrive URLs para download de payloads | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Usuário executa arquivo de isca | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell pós-comprometimento | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | NanoCore com Eazfuscator, binários comprimidos | | C2 | Application Layer Protocol | [[t1071-application-layer-protocol\|T1071]] | RAT C2 via TCP/HTTPS | | Tool Transfer | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de payloads adicionais pós-infecção | ## Relevância para o Brasil e LATAM > [!latam] Risco Indireto via Cadeias de Fornecimento Global > TA2722 não foca específicamente no Brasil ou LATAM, mas o targeting de setores de **logística internacional, transporte marítimo e manufatura** cria risco indireto. Empresas brasileiras com operações de importação/exportação via Filipinas ou com parceiros asiáticos que recebam comúnicações fraudulentas fingindo ser entidades alfandegárias filipinas são alvos potenciais. As técnicas - phishing com attachments Office maliciosos - são universais e os RATs distribuídos (especialmente Warzone) foram usados em campanhas globais. ## Detecção e Defesa **Indicadores de comprometimento:** - Domínios C2 com padrão de DDNS (ddns.net, casacam.net, got-game.org) - Processo `Remcos.exe` em `C:\Users\[user]\AppData\Roaming\` - Comúnicação TCP na porta 5200 (padrão Warzone RAT) - Arquivos `.uue` em emails de entidades alfandegárias/gov. filipinas - Chave de registro: `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` com payload **Mitigações:** - Bloquear macros em documentos Office de origem externa via Group Policy - Implementar sandboxing de email para análise de attachments - Monitorar comúnicações DNS para domínios DDNS não autorizados - Treinar usuários para identificar lures de alfândegas/governo estrangeiros ## Referências - [Proofpoint - New Threat Actor Spoofs Philippine Government (2021)](https://www.proofpoint.com/uk/blog/threat-insight/new-threat-actor-spoofs-philippine-government-covid-19-health-data-widespread) - [IC3/FBI - Warzone RAT Disruption (2024)](https://www.ic3.gov/CSA/2024/240215.pdf) - [The Hacker News - US DoJ Dismantles Warzone RAT Infrastructure (2024)](https://thehackernews.com/2024/02/us-doj-dismantles-warzone-rat.html) - [Malpedia - TA2722](https://malpedia.caad.fkie.fraunhofer.de/actor/ta2722) **Malware distribuído:** [[remcos-rat|Remcos RAT]] · [[nanocore-rat|NanoCore RAT]] · [[warzone-rat|Warzone RAT]] **Setores alvejados:** [[transportation|transporte]] · [[manufacturing|manufatura]] · [[energy|energia]]