backdoor-diplomacy

# BackdoorDiplomacy > [!high] Backdoor APT Chinesa - Espionagem Diplomática em África e Oriente Médio > BackdoorDiplomacy (implante Turian) é o malware principal do grupo APT de mesmo nome, ativo desde 2017. Ataca Ministérios de Relações Exteriores, telecom e organizações diplomáticas. Usa DLL search order hijacking, web shells e ferramentas NSA vazadas (EternalBlue, DoublePulsar). ## Visão Geral BackdoorDiplomacy é tanto o nome do grupo APT quanto o implante Turian que desenvolve e usa em operações de espionagem. O grupo foi documentado pela ESET em 2021, sendo identificado como um ator estatal chinês ativo desde pelo menos 2017. Seus alvos primários incluem Ministérios de Relações Exteriores, empresas de telecomúnicações e organizações diplomáticas na África, Oriente Médio, Europa e Ásia. O implante principal do grupo - chamado Turian pela ESET - é derivado do backdoor Quarian, outra ferramenta de origem chinesa. O Turian suporta plataformas Windows e Linux, tornando o grupo uma ameaça cross-platform que pode comprometer tanto servidores de aplicações web quanto estações de trabalho. Esta capacidade cross-platform é relativamente rara entre grupos APT. O grupo se destaca pelo uso de ferramentas vazadas do arsenal da NSA americana: EternalBlue, DoublePulsar, EternalRocks e EternalSynergy - obtidas após o vazamento pelo grupo Shadow Brokers. Estas ferramentas são ofuscadas com VMProtect antes do uso. O grupo também emprega ferramentas de tunelamento de rede como EarthWorm (SOCKS5) e ferramentas legítimas como Mimikatz, NetCat e PortQry. Para acesso inicial, o grupo explora vulnerabilidades em servidores expostos - incluindo o [[cve-2020-5902|CVE-2020-5902]] no F5 BIG-IP para implantar backdoors Linux - e instala web shells via servidores Microsoft Exchange e servidores Plesk mal configurados. O uso do [[s0020-china-chopper]], uma das web shells mais comuns em operações chinesas, é documentado nas operações do grupo. ## Attack Flow ```mermaid graph TB A["🌐 Exploração de Servidor CVE-2020-5902 F5 ou Exchange"] --> B["🐚 Web Shell Instalada China Chopper ou similar"] B --> C["🔍 Reconhecimento de Rede SMBTouch, NBTscan, PortQry"] C --> D["💥 Ferramentas NSA EternalBlue, DoublePulsar"] D --> E["🔀 DLL Hijacking Processo legítimo carrega Turian"] E --> F["🌐 EarthWorm Tunnel SOCKS5 para C2 via rede interna"] F --> G["💾 Coleta de Dados Arquivos de interesse no Recycle Bin"] G --> H["📱 Monitor USB Detecta e copia mídias removíveis"] H --> I["📤 Exfiltração Via canal C2 estabelecido"] ``` *Web shell: [[s0020-china-chopper]] · Ferramentas NSA: EternalBlue, DoublePulsar* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1190 | Exploit Public-Facing | Acesso Inicial | CVE-2020-5902 F5 BIG-IP e Exchange Server | | T1505.003 | Web Shell | Persistência | China Chopper e web shells customizadas | | T1574.001 | DLL Search Order Hijacking | Evasão | Carregamento de DLL maliciosa via processo legítimo | | T1055.001 | DLL Injection | Execução | Injeção de DLL em processos legítimos | | T1036.004 | Masquerade Task | Evasão | Nomes de arquivos imitando software legítimo | | T1027 | Obfuscated Files | Evasão | VMProtect para ofuscação de ferramentas | | T1095 | Non-Application Layer | C2 | EarthWorm SOCKS5 para tunelamento | | T1120 | Peripheral Device Discovery | Coleta | Detecção e dump de dispositivos USB | | T1074.001 | Local Data Staging | Coleta | Staging de arquivos no Recycle Bin | | T1046 | Network Service Discovery | Reconhecimento | SMBTouch para detecção de EternalBlue | ## Arsenal do BackdoorDiplomacy ```mermaid graph TB subgraph Implantes Customizados TUR["Turian Backdoor Baseado no Quarian Windows e Linux"] QSR["QuasarRAT Open-source RAT"] end subgraph Ferramentas de Rede EW["EarthWorm SOCKS5 tunneling"] NC["NetCat Network pivoting"] PQ["PortQry Port scanning"] end subgraph Ferramentas NSA Vazadas EB["EternalBlue SMB exploit"] DP["DoublePulsar Backdoor kernel"] ER["EternalRocks SMB exploits combo"] end subgraph Web Shells CC["China Chopper Web shell popular"] WS["Custom Shells Adaptadas por alvo"] end TUR --> EW TUR --> NC EB --> DP ``` *Técnicas: [[t1190-exploit-public-facing-application|T1190]] · [[t1095-non-application-layer-protocol|T1095]] · [[t1505-003-web-shell|T1505.003]]* ## Conexões com Outros Grupos Chineses A ESET identificou sobreposições com: - Grupo "CloudComputating" analisado pela Kaspersky - Comprometimentos similares a campanha MirageFox ([[mirage-rat]]) do APT15 - Rehashed Rat campaign documentada pela Fortinet Estas sobreposições sugerem compartilhamento de ferramentas ou infraestrutura dentro do ecossistema de ameaças chinesas, embora não confirmem operações conjuntas. ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e LATAM > **BackdoorDiplomacy** representa risco para o Brasil dado o perfil de alvos do grupo: **Ministérios de Relações Exteriores**, empresas de **telecomúnicações** e organizações diplomáticas. O Brasil, como maior economia da América Latina com presença diplomática global e setor de telecom expressivo, enquadra-se no perfil de interesse do grupo. A exploração do **CVE-2020-5902** no F5 BIG-IP afetou appliances amplamente usados em data centers brasileiros de grande porte. ## Detecção e Defesa **Indicadores comportamentais:** - Web shell em diretório de aplicação web (IIS, Exchange OWA) - DLL carregada de caminho incomum por processo legítimo - EarthWorm (ew.exe) executado para criar túnel SOCKS5 - Ferramenta SMBTouch sendo executada para reconhecimento - Processo copiando arquivos para a Lixeira (Recycle Bin) como staging **Mitigações recomendadas:** - Patching urgente de servidores F5 BIG-IP e Exchange expostos - Monitorar integridade de arquivos em diretórios web (IIS, OWA) - [[m1030-network-segmentation|Segmentação de rede]] para limitar alcance de SOCKS5 interno - Controle de dispositivos USB via política de grupo - Logging e alertas para execução de ferramentas de reconhecimento de rede ## Referências - [1](https://www.welivesecurity.com/2021/06/10/backdoordiplomacy-upgrading-quarian-turian/) ESET WeLiveSecurity - BackdoorDiplomacy APT (2021) - [2](https://attack.mitre.org/groups/G0135/) MITRE ATT&CK - BackdoorDiplomacy Group G0135 (2023) - [3](https://securityaffairs.com/118920/apt/backdoordiplomacy-apt.html) Security Affairs - BackdoorDiplomacy Targets Diplomats (2021) - [4](https://kcm.trellix.com/corporate/index?id=KB94913) Trellix - BackdoorDiplomacy APT Analysis (2022) - [5](https://nvd.nist.gov/vuln/detail/CVE-2020-5902) NVD - CVE-2020-5902 F5 BIG-IP (2020)