# BackdoorDiplomacy APT > [!medium] Backdoor customizado Turian, usado pelo grupo APT BackdoorDiplomacy (origem chinesa provavel) para espionagem contra Ministerios de Relacoes Exteriores e telecomúnicacoes na Africa, Oriente Medio, Europa e Asia desde 2017. ## Visão Geral O BackdoorDiplomacy APT refere-se tanto ao grupo de ameaça como ao seu backdoor principal, o **Turian** (rastreado pela ESET). O grupo foi descoberto e documentado públicamente pela ESET em junho de 2021, mas evidências técnicas indicam atividade desde pelo menos 2017. A origem chinesa é fortemente sugerida por sobreposições de infraestrutura, código e vitimologia com outros grupos APT alinhados à China. O Turian representa uma evolução direta do backdoor **Quarian**, observado em 2013 em ataques a alvos diplomáticos na Síria e Estados Unidos. O protocolo de encriptação de rede do Turian é quase idêntico ao do **Whitebird**, backdoor operado pelo grupo Calypso, que também atacou organizações diplomáticas no Cazaquistão e Quirguistão no mesmo período. O grupo foca em Ministérios de Relações Exteriores em múltiplos países africanos, além de alvos no Oriente Médio, Europa e Ásia. Uma campanha de 2021-2022 no Oriente Médio foi documentada pela Bitdefender, evidênciando o uso de novos ferramentais incluindo proxies ToRat e [[s1087-asyncrat\|AsyncRAT]]. O grupo modifica suas ferramentas entre regiões geográficas próximas para dificultar rastreamento e atribuição. Para organizações com presença diplomática internacional ou que operam em setores de telecomúnicações, o BackdoorDiplomacy representa uma ameaça de espionagem de longo prazo com alta sofisticação operacional. ## Como Funciona O BackdoorDiplomacy inicia a cadeia de ataque explorando aplicações expostas na internet - webservers, equipamentos de rede. Uma vez comprometido o servidor, instala webshells (incluindo China Chopper) e implanta o backdoor Turian. ### Attack Flow ```mermaid graph TB A["🌐 Acesso Inicial<br/>Exploração de servidores expostos<br/>CVE-2020-5902 F5 BIG-IP"] --> B["🔧 Webshell<br/>China Chopper instalado<br/>Execução inicial de comandos"] B --> C["📥 Implantação Turian<br/>Backdoor customizado<br/>baseado no Quarian 2013"] C --> D["🔍 Reconhecimento<br/>Varredura de rede<br/>EarthWorm, NetCat"] D --> E["📱 Coleta de Midia<br/>Detecção e copia<br/>de drives USB removiveis"] E --> F["📤 Exfiltração<br/>Dados compactados<br/>em arquivo com senha"] F --> G["🕵️ Espionagem contínua<br/>Screenshots, info do sistema<br/>Manipulação de arquivos"] ``` ## Capacidades do Backdoor Turian O Turian é um backdoor cross-platform (Windows e Linux) com as seguintes capacidades: | Capacidade | Descrição | |-----------|-----------| | Informações do sistema | Coleta de perfil da máquina comprometida | | Screenshots | Captura de tela sob demanda | | Gerenciamento de arquivos | Escrita, movimentação e deleção de arquivos | | Detecção USB | Scan de mídia removível ao inserir | | Cópia USB | Copia todos arquivos do USB para recycle bin como arquivo protegido | | Proxy e Tunneling | Suporte a ferramentas de tunelamento de rede | | Linux reverse shell | Variante Linux retorna TTY reverse shell ao operador | ## Ferramentas do Arsenal Além do Turian, o grupo usa ferramentas open-source e utilitários vazados: - **EarthWorm** - software de tunelamento de rede - **Mimikatz** - dump de credenciais - **NetCat** - utilitário de rede - **EternalBlue, DoublePulsar** - ferramentas vazadas da NSA via ShadowBrokers - **[[quasar-rat\|QuasarRAT]]** - RAT open-source - **ToRat** - ferramenta de administração remota em Golang - **[[s1087-asyncrat\|AsyncRAT]]** - provavelmente entregue pelo Quarian A maioria dessas ferramentas é ofuscada com **VMProtect** (versões 1.60 a 2.05). ## TTPs Principais | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[T1190-exploit-public-facing-application\|T1190]] | CVE-2020-5902 no F5 BIG-IP, Plesk mal configurado | | Persistência | [[T1574-hijack-execution-flow\|T1574]] | DLL search-order hijacking específico do grupo | | Coleta | [[T1074-data-staged\|T1074.001]] | Arquivos interessantes copiados para Recycle Bin | | Coleta | [[T1091-replication-through-removable-media\|T1091]] | Detecção e cópia automática de drives USB | | Coleta | [[T1113-screen-capture\|T1113]] | Captura de screenshots da tela | | Exfiltração | [[T1560-archive-collected-data\|T1560]] | Dados compactados com proteção por senha | | Evasão | [[T1027-obfuscated-files-or-information\|T1027]] | VMProtect em ferramentas do arsenal | ## Conexões com Outros Grupos O BackdoorDiplomacy apresenta sobreposições com: - **Calypso APT** - protocolo de encriptação de rede idêntico no Whitebird - **Rehashed Rat e MirageFox (APT15)** - mecanismos de comprometimento similares - **CloudComputating** (nomenclatura Kaspersky) - grupo analisado também pela Sophos ## Detecção e Defesa ### Mitigações Prioritárias 1. **Aplicar patches** em CVE-2020-5902 (F5 BIG-IP) e vulnerabilidades em Plesk 2. **Controlar e monitorar** uploads de arquivos em webservers públicos 3. **Monitorar** criação de processos filhos incomuns a partir de servidores web 4. **Bloquear** execução de ferramentas suspeitas (Mimikatz, EarthWorm) 5. **Restringir acesso físico** e monitorar conexão de dispositivos USB em ambientes sensíveis 6. **Implementar DLP** para detectar cópias em massa para o Recycle Bin ## Referências - [ESET - BackdoorDiplomacy: Upgrading from Quarian to Turian (2021)](https://www.welivesecurity.com/2021/06/10/backdoordiplomacy-upgrading-quarian-turian/) - [MITRE ATT&CK - BackdoorDiplomacy G0135](https://attack.mitre.org/groups/G0135/) - [Bitdefender - BackdoorDiplomacy New Tools Middle East (2022)](https://www.bitdefender.com/en-gb/blog/labs/backdoor-diplomacy-wields-new-tools-in-fresh-middle-east-campaign) - [Security Affairs - BackdoorDiplomacy APT targets diplomats](https://securityaffairs.com/118920/apt/backdoordiplomacy-apt.html)