unc215 - RunkIntel

# UNC215 > [!high] Espionagem Chinesa com Alvo em Israel e Oriente Médio > UNC215 é um cluster de atividade de espionagem cibernética com nexo chinês, identificado pela Mandiant operando contra organizações israelenses de TI, governo e telecomúnicações desde janeiro de 2019. O grupo utilizou falsos indicadores de autoria para imitar atores iranianos, e implantou malware customizado — FOCUSFJORD e HYPERBRO — em alvos selecionados de alto valor estratégico. A Mandiant avalia com baixa confiança uma possível relação com o [[g0027-threat-group-3390]]. ## Visão Geral UNC215 representa um exemplo sofisticado de operação de espionagem cibernética estatal focada em coleta de inteligência estratégica. A Mandiant identificou este cluster de atividade após investigar intrusões em organizações israelenses de tecnologia, governo e telecomúnicações a partir de janeiro de 2019, período que coincide com crescente envolvimento econômico da China com Israel no contexto da Iniciativa do Cinturão e Rota (Belt and Road Initiative - BRI). O que torna UNC215 particularmente notável é o uso deliberado de **falsas bandeiras (false flags)**: o grupo inseriu strings em farsi (persa) em seus malwares e utilizou infraestrutura associada a atores iranianos para desviar a atribuição, fazendo com que analistas inicialmente considerassem um ator iraniano como responsável pelas intrusões. Essa técnica de engano sofisticada é indicativa de um ator com maturidade operacional e preocupação ativa com contra-inteligência. O principal vetor de acesso inicial foi a exploração da [[cve-2019-0604|CVE-2019-0604]], uma vulnerabilidade crítica no Microsoft SharePoint que permitia execução remota de código sem autenticação. Após o acesso inicial, o grupo implantava os malwares [[s0398-hyperbro]] (para keylogging e captura de tela) e FOCUSFJORD (para acesso inicial e persistência). A conexão com o [[g0027-threat-group-3390]] (também rastreado como Emissary Panda e Bronze Union) é avaliada com baixa confiança pela Mandiant, baseada em sobreposições táticas e no uso de variantes do malware HYPERBRO — uma ferramenta associada historicamente ao APT27. Contudo, a Mandiant mantém UNC215 como cluster separado por ausência de evidências conclusivas de convergência. ## Attack Flow e TTPs ```mermaid graph TB A["🔍 Reconhecimento Identificação de SharePoint e servidores web públicos israelenses"] --> B["💥 Acesso Inicial Exploração CVE-2019-0604 RCE no SharePoint (sem autenticação)"] B --> C["🐚 Web Shell Implantação de web shell para acesso persistente"] C --> D["🎭 Falsa Bandeira Inserção de strings em farsi para imitar atores iranianos"] D --> E["🔧 Implantação de Malware FOCUSFJORD (persistência) HYPERBRO (espionagem)"] E --> F["📸 Coleta de Dados Keylogging e captura de tela via HYPERBRO"] F --> G["📤 Exfiltração Dados de governo, TI e telecom para inteligência chinesa"] ``` **Técnicas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1056-input-capture|T1056]] · [[t1113-screen-capture|T1113]] ## CVEs Exploradas | CVE | CVSS | Sistema | Descrição | |-----|------|---------|-----------| | [[cve-2019-0604\|CVE-2019-0604]] | 9.8 | Microsoft SharePoint | RCE pré-autenticação via deserialização | A [[cve-2019-0604|CVE-2019-0604]] foi explorada ativamente por múltiplos grupos APT em 2019-2020, incluindo UNC215 e atores iranenses, tornando-se um exemplo clássico de CVE de alto impacto em infraestrutura corporativa. ## Arsenal de Malware ```mermaid graph TB subgraph "FOCUSFJORD — Acesso e Persistência" FF["FOCUSFJORD Backdoor modular para acesso inicial e persistência longa duração"] end subgraph "HYPERBRO — Espionagem" HB["HYPERBRO RAT com capacidades de: - Keylogging - Captura de tela - Execução de comandos"] end subgraph "Técnica de Engano" FF2["Strings em Farsi Inseridas nos binários para imitar atores iranianos"] end FF --> HB FF --> FF2 ``` ### FOCUSFJORD FOCUSFJORD é um backdoor modular usado por UNC215 para manter acesso inicial em ambientes comprometidos. Suas características incluem: - Capacidade de carga de módulos adicionais sob demanda - Mecanismos de persistência via registro do Windows e serviços - Comúnicação C2 via protocolos HTTP/HTTPS para simular tráfego legítimo - Associado exclusivamente a UNC215, indicando desenvolvimento customizado ### HYPERBRO [[s0398-hyperbro]] é um Remote Access Trojan (RAT) amplamente associado ao [[g0027-threat-group-3390]], cuja presença em operações de UNC215 constituiu evidência-chave para a possível relação entre os dois grupos. Capacidades documentadas: - Keylogging em tempo real - Captura periódica de screenshots - Execução remota de comandos - Gerenciamento de arquivos e processos ## Falsa Bandeira e Contra-Inteligência UNC215 demonstrou maturidade operacional incomum ao implementar ativamente técnicas de engano de atribuição: - **Strings em farsi**: Texto persa inserido em strings de malware para implicar autoria iraniana - **Infraestrutura compartilhada**: Uso de nós de infraestrutura associados a grupos iranianos - **TTP mimetismo**: Adoção de técnicas semelhantes às usadas por grupos iranenses ativos em Israel Essa abordagem reflete uma consciência de que análise forense de malware é uma ferramenta comum de atribuição, e que inserir falsos indicadores pode desviar investigações e criar confusão geopolítica. ## Contexto Estratégico: Belt and Road Initiative As operações de UNC215 em Israel coincidem com a expansão da presença chinesa no país através da Iniciativa do Cinturão e Rota, incluindo investimentos em portos, infraestrutura de telecomúnicações e parques tecnológicos. O perfil dos alvos — empresas de TI, telecomúnicações e governo — sugere coleta de inteligência estratégica para apoiar esses interesses econômicos e geopolíticos. ## Detecção e Defesa ### Indicadores de Comprometimento - Web shells em servidores SharePoint pós-exploração de CVE-2019-0604 - Presença dos executáveis FOCUSFJORD ou HYPERBRO em sistemas Windows - Strings em farsi em binários suspeitos (possível indicador de falsa bandeira) - Conexões de rede anômalas para domínios C2 identificados nos advisories Mandiant ### Mitigações Recomendadas - Aplicar patch para [[cve-2019-0604|CVE-2019-0604]] imediatamente (ainda presente em ambientes não atualizados) - Monitorar integridade de servidores SharePoint e IIS com [[ds-0015-application-log|DS0015]] - Implementar detecção de web shells via análise de comportamento de processos filhos de w3wp.exe - Usar [[m1021-restrict-web-based-content|M1021]] para limitar execução de conteúdo não autorizado em servidores web - Auditar binários suspeitos em busca de strings em idiomas incomuns (técnica de detecção de falsa bandeira) ## Referências - [Mandiant — UNC215 Operations Against Israeli Organizations (2021)](https://cloud.google.com/blog/topics/threat-intelligence/unc215-chinese-espionage-any-link-to-apt27) - [MITRE ATT&CK — HYPERBRO](https://attack.mitre.org/software/S0398/) - [[g0027-threat-group-3390]] — Grupo chinês com possível nexo (baixa confiança) - [[s0398-hyperbro]] — Malware compartilhado entre UNC215 e APT27 - [[cve-2019-0604|CVE-2019-0604]] — Vulnerabilidade SharePoint explorada para acesso inicial - [[t1190-exploit-public-facing-application|T1190]] — Técnica de acesso inicial principal - [[t1505-003-web-shell|T1505.003]] — Web shells para persistência - [[s1030-godzilla-webshell]] — Web shell associado a atividade chinesa similar