9002-rat - RunkIntel

# 9002 RAT > [!high] Trojan modular de espionagem do grupo chinês APT17, ativo desde 2009 como a arma principal da histórica Operação Aurora contra o Google e mais de 34 empresas americanas. Em 2024, variantes atualizadas foram usadas em ataques contra empresas e entidades governamentais italianas, demonstrando a longevidade excepcional desta família de malware. ## Visão Geral O 9002 RAT (também rastreado como **Hydraq** e **McRAT**) é um trojan modular de espionagem desenvolvido e operado pelo [[g0025-apt17|APT17]] (Elderwood Group), um grupo de ameaça com vínculos atribuídos ao governo da China, específicamente ao Exército de Libertação Popular (PLA). O malware ganhou notoriedade mundial em 2009-2010 como a principal ferramenta da [[operation-aurora|Operação Aurora]], que comprometeu o Google, Adobe, Juniper Networks e mais de 34 outras grandes organizações americanas. O nome "9002" deriva de uma porta de rede frequentemente utilizada na comunicação C2 de variantes iniciais. A denominação "Hydraq" foi atribuída pela McAfee quando reportou públicamente a Operação Aurora em janeiro de 2010, e "McRAT" apareceu em análises posteriores. Hoje o malware é mais amplamente referênciado como 9002 RAT na comunidade de inteligência de ameaças, com "RAT 3102" sendo uma nomenclatura específica usada por pesquisadores italianos da TG Soft para variantes de 2024. A longevidade da família 9002 RAT é excepcional: o código-fonte contém timestamps que remontam a 2006, a campanha pública mais famosa data de 2009, e ainda em **julho de 2024** a empresa italiana TG Soft documentou ataques ativos contra empresas e entidades governamentais italianas usando variantes atualizadas do 9002 RAT, incluindo versões "diskless" (sem gravação em disco). Poucos malwares mantêm relevância operacional por mais de 15 anos. Para o Brasil e LATAM, o 9002 RAT representa uma ameaça a organizações com relações comerciais intensas com a China ou que operam em setores de interesse estratégico (energia, telecomúnicações, defesa, tecnologia). O APT17 é conhecido por adaptar seus alvos a interesses geopolíticos e econômicos chineses, que incluem setores estratégicos presentes na região. > [!latam] Relevância LATAM > O **APT17** tem histórico de campanhas contra alvos na Itália (2024) e qualquer país com interesses estratégicos ligados à China. Brasil e Argentina - com contratos energéticos e tecnológicos com empresas chinesas - têm perfil de alvo para campanhas de espionagem industrial. Organizações nos setores de **energia**, **telecomúnicações** e **defesa** com presença no Brasil devem considerar o 9002 RAT como ameaça de relevância média-alta. ## Como Funciona ### Attack Flow - Campanha 2024 (Alvos Italianos) ```mermaid graph TB A["🎯 Spear-phishing Email com documento Office ou link para dominio governo-like"] --> B["📦 MSI Malicioso SkypeMeeting.msi - instalador falso do Skype for Business"] B --> C["📜 VBS Launcher Script VBS executa JAR enquanto instala Skype legítimo"] C --> D["☕ Java Application JAR descriptografa shellcode RC4 e executa na memória"] D --> E["🐀 9002 RAT Carregado Variante diskless - sem gravação em disco"] E --> F["📡 C2 Encriptado Comúnicação com dominio simulando Microsoft ou governo"] F --> G["🔍 Espionagem Modular Módulos ativados sob demanda para reduzir detecção"] ``` ## Capacidades do 9002 RAT O 9002 RAT é um trojan modular - cada funcionalidade é um módulo separado, ativado pelo operador conforme necessário: | Módulo | Capacidade | |--------|-----------| | Network monitor | Monitoramento e captura de tráfego de rede interno | | Screenshot | Capturas de tela sob demanda ou em intervalos | | File manager | Enumeração, cópia, movimentação e deleção de arquivos | | Process manager | Lista e gerencia processos ativos no sistema | | Network discovery | Varredura da intranet corporativa por sistemas ativos | | Proxy | Redirecionamento de tráfego / uso como proxy de rede | | Keylogger | Registro de teclas (disponível em módulos adicionais) | | Shell | Execução de comandos arbitrários via shell remoto | ## Evolução - Quinze Anos de Atividade ```mermaid timeline title 9002 RAT - Linha do Tempo 2006 : Timestamps de compilacao no código apontam para desenvolvimento 2009 : Operação Aurora - Google e 34+ empresas comprometidas 2010 : McAfee reporta publicamente - termo APT popularizado 2013 : Campanha Sunshop - redirecionamentos maliciosos em sites 2013 : Operação DeputyDog - zero-day IE contra alvos japoneses 2022 : Webworm reutiliza 9002 RAT modificado (Symantec) 2024 : APT17 usa 9002 RAT contra empresas e governo italiano ``` ## Ligação com a Operação Aurora O 9002 RAT ganhou relevância histórica como a ferramenta central da [[operation-aurora|Operação Aurora]]: - **Método de entrega original**: Drive-by compromise via zero-day no Internet Explorer (CVE-2010-0249) - **Alvos confirmados**: Google, Adobe, Juniper Networks, Rackspace, Northrop Grumman, Morgan Stanley, Yahoo e mais de 34 organizações - **Objetivo estratégico**: Acesso a código-fonte de projetos internos do Google e contas Gmail de ativistas pelos direitos humanos chineses - **Impacto histórico**: A Operação Aurora foi o evento que popularizou o conceito de APT (Advanced Persistent Threat) e acelerou o desenvolvimento do framework MITRE ATT&CK O grupo por trás do ataque ([[elderwood-group|Elderwood Group]] / APT17) foi atribuído pelos pesquisadores da Dell Secureworks como "Beijing Group", com vínculos ao PLA chinês. O [[aurora-backdoor|Aurora Backdoor]] (Hydraq) evoluiu diretamente para o 9002 RAT. ## Campanha 2024 - Alvos Italianos A pesquisa da TG Soft (julho de 2024) documentou ataques em dois momentos: - **24 de junho de 2024**: Campanha com documento Office malicioso - **2 de julho de 2024**: Campanha com link para domínio que simulava site do governo italiano Ambas as campanhas usavam como lure a instalação do **Skype for Business** via MSI malicioso hospedado em domínio como `meeting.equitaligaiustizia[.]it` (imitando entidade governamental italiana). O MSI instalava o Skype legítimo para desviar suspeitas enquanto executava o 9002 RAT em modo diskless (sem escrita em disco). ## TTPs Principais | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[T1189-drive-by-compromise\|T1189]] | Drive-by via exploit de browser (Operação Aurora) | | Acesso Inicial | [[T1566-phishing\|T1566.002]] | Spear-phishing com link para MSI malicioso (2024) | | Execução | [[T1059-command-and-scripting-interpreter\|T1059.005]] | VBScript como launcher para JAR Java | | Evasão | [[T1027-obfuscated-files-or-information\|T1027]] | Shellcode RC4-encrypted, versão diskless | | Descoberta | [[T1057-process-discovery\|T1057]] | Enumeração de processos e sistemas internos | | Descoberta | [[T1046-network-service-discovery\|T1046]] | Varredura da intranet por sistemas vulneráveis | | Coleta | [[T1113-screen-capture\|T1113]] | Screenshots via módulo dedicado | | C2 | [[T1071-application-layer-protocol\|T1071.001]] | HTTP/HTTPS para servidor C2 com domínio typosquatting | ## Detecção e Defesa ### Mitigações Prioritárias 1. **Monitorar instalação de MSI** por usuários sem privilégios administrativos 2. **Bloquear execução de JAR** fora de contextos de desenvolvimento conhecido 3. **Detectar comúnicações C2** para domínios recém-registrados ou com typosquatting de marcas conhecidas 4. **Manter browsers atualizados** - a família originalmente explorou zero-days em Internet Explorer 5. **Inspecionar tráfego HTTPS** para padrões de beaconing regulares ### Indicadores de Comprometimento > [!ioc]- IOCs - 9002 RAT 2024 (TLP:GREEN) > **Domínios C2 (campanha italiana 2024):** > `themicrosoftnow[.]com` > `meeting.equitaligaiustizia[.]it` (domínio governamental italiano comprometido) > > **Hashes SHA-256 (2024):** > `28808164363d221ceb9cc48f7d9dbff8ba3fc5c562f5bea9fa3176df5dd7a41e` > `e024fe959022d2720c1c3303f811082651aef7ed85e49c3a3113fd74f229513c` > > **Hashes MD5 (2024):** > `9847280ad804970d7a00715cd4d5468a` > `9d97d3844d4c0bb06a73257aab6c02b8` > > **Arquivos indicadores:** > `SkypeMeeting.msi` (MSI malicioso - nome de isca) > Arquivo JAR executado via VBS > > **Fontes:** [TG Soft - 9002 RAT Italian Campaign (2024)](https://www.tgsoft.it/news/news_archivio.asp?id=1557&lang=eng) · [The Hacker News - APT17 Targets Italian Companies (2024)](https://thehackernews.com/2024/07/china-linked-apt17-targets-italian.html) ## Referências - [TG Soft - 9002 RAT Variant Targeting Italy (2024)](https://www.tgsoft.it/news/news_archivio.asp?id=1557&lang=eng) - [The Hacker News - China-linked APT17 Targets Italian Companies with 9002 RAT (2024)](https://thehackernews.com/2024/07/china-linked-apt17-targets-italian.html) - [McAfee - Operation Aurora (2010)](https://www.mcafee.com/enterprise/en-us/threat-research/operation-aurora.html) - [Symantec - Webworm: Attackers Reusing Old RATs to Target Government (2022)](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/webworm-rat) - [MITRE ATT&CK - APT17 G0025](https://attack.mitre.org/groups/G0025/)