# X-Agent > [!danger] Resumo > Backdoor multiplataforma (Windows, Linux, macOS, iOS, Android) desenvolvido pelo grupo russo APT28 (GRU). Uma das ferramentas de espionagem mais versateis e duradouras da Russia, ativo desde 2014 com versoes em constante evolução. Usado em espionagem contra campanhas presidenciais, OTAN, governos europeus, e infraestrutura critica. A variante para macOS pode exfiltrar backups de iPhone armazenados no Mac. ## Visão Geral O [[xagent|X-Agent]] (também conhecido como CHOPSTICK, Sofacy ou Fysbis) e a ferramenta de espionagem principal do [[g0007-apt28|APT28]] (Fancy Bear, Sednit, Pawn Storm, Strontium), grupo de espionagem cibernetica atribuido com alta confiança a Unidade Militar 26165 do GRU russo - o servico de inteligência militar da Russia. O X-Agent se destaca por sua cobertura cross-platform: versoes documentadas para Windows, Linux, macOS, iOS e Android. A variante para macOS, analisada pela Bitdefender em 2017, contem um módulo especialmente relevante para vigilancia: a capacidade de exfiltrar backups de iPhone armazenados no Mac, permitindo obter mensagens, contatos, fotos e aplicativos de dispositivos iOS sem acesso fisico ao telefone. A arquitetura do malware usa dois threads de comunicação em loop infinito: um envia dados via POST, outro monitora comandos via GET. Módulosincluem FileSystem, KeyLogger, RemoteShell e HttpChannel, espelhando módulos das versoes Windows/Linux. O C2 usa URLs que se disfarçam de dominios Apple (apple-xxxxx.org/net). Versoes mais recentes implementaram algoritmos DGA (Domain Generation Algorithm) para criar dominios de fallback, strings ofuscadas em tempo de execução para evadir análise estática, e melhorias em criptografia. Em 2021, o APT28 ainda usava X-Agent contra alvos na Ucrania e foi documentado em operações até 2024. **Plataformas:** Windows, Linux, macOS, iOS, Android ## Capacidades por Plataforma ```mermaid graph TB A["X-Agent<br/>Plataforma central APT28"] --> B["Windows<br/>CHOPSTICK - mais completo"] A --> C["Linux<br/>Fysbis - servidores"] A --> D["macOS<br/>Exfiltração de backup iPhone"] A --> E["iOS<br/>Implante direto em device"] A --> F["Android<br/>Monitoramento movel"] B --> G["Keylogger, Screenshots<br/>FileSystem, RemoteShell<br/>Roubo de credenciais"] C --> H["Persistência em servidores<br/>Espionagem de infraestrutura"] D --> I["Módulo especial: backup iPhone<br/>Contatos, mensagens, fotos<br/>Credenciais do navegador"] ``` ## Cadeia de Infecção ```mermaid graph TB A["Spear-phishing<br/>Email com link ou<br/>documento malicioso"] --> B["Download do Payload<br/>Via Komplex downloader<br/>em macOS ou direto em Windows"] B --> C["Verificação Anti-debug<br/>Abandona se debugger<br/>detectado no processo"] C --> D["Espera por Internet<br/>Aguarda conectividade<br/>antes de comúnicar C2"] D --> E["HelloMessage ao C2<br/>Registro do implante<br/>com GUID da vitima"] E --> F["Dois Threads C2<br/>POST dados coletados<br/>GET novos comandos"] F --> G["Exfiltração Continua<br/>Keystrokes, screenshots<br/>arquivos e backup iPhone"] ``` ## Tacticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação via HTTP POST/GET disfarçada de trafico web | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | Criptografia customizada para trafico C2 | | C2 | [[t1568-002-domain-generation-algorithms\|T1568.002]] | DGA para criação de dominios de fallback | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas digitadas | | Coleta | [[t1113-screen-capture\|T1113]] | Capturas de tela periodicas | | Coleta | [[t1005-data-from-local-system\|T1005]] | Acesso e exfiltração de arquivos locais | | Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de sistema de arquivos | | Descoberta | [[t1057-process-discovery\|T1057]] | Listagem de processos em execução | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta de informações do sistema | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Ofuscacao de strings em tempo de execução | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de dados via canal C2 | ## Operacoes Documentadas com X-Agent | Operação | Alvo | Período | |----------|------|---------| | Eleicao EUA 2016 | DNC, campanha Hillary Clinton | 2016 | | Artilharia Ucrania | App militar ucraniano | 2014-2016 | | Belgacom (com Regin) | Operadora Belgica | 2013-2014 | | Operacoes OTAN | Membros militares europeus | 2014-2018 | | APT28 Nearest Neighbor | Entidades com expertise Ucrania | 2022-2024 | ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] conduz operações globais de espionagem com foco em governos, militares, diplomaticos e organizacoes de politica externa. O Brasil, como membro permanente do G20, maior economia da América Latina e membro dos BRICS, e alvo de inteligência de múltiplas nacoes incluindo Russia. Organizacoes governamentais brasileiras com conexoes diplomaticas com Europa e OTAN, alem de think tanks, universidades e organizacoes de direitos humanos, devem considerar X-Agent como ameaça relevante. A variante para macOS e especialmente relevante dado o alto uso de MacBooks em ambientes diplomaticos e jornalisticos. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar conexoes HTTPS para dominios simulando Apple (apple-XXXXX.net/org) nao documentados oficialmente > - Detectar DLLs carregadas por processos legitimos de localizacoes inusitadas (DLL side-loading) > - EDR: alertar sobre processos com dois threads de rede em loop (padrao de comunicação X-Agent) > - Verificar backups de iPhone em Macs corporativos - acesso a `~/Library/Application Support/MobileSync` por processos incomuns > - Buscar arquivos com string "/Users/kazak/Desktop/Project/" em análise de memoria (artefato de compilacao) > - Monitorar criação de shells reversos a partir de processos incomuns em macOS ## Referências - [MITRE ATT&CK - S0045](https://attack.mitre.org/software/S0045/) - [Bitdefender - New XAgent Mac Malware Linked with APT28](https://www.bitdefender.com/en-gb/blog/labs/new-xagent-mac-malware-linked-with-the-apt28) - [ESET - Sednit Updaté: How Fancy Bear Spent the Year](https://www.welivesecurity.com) - [Security Online - APT28 Updates Arsenal](https://securityonline.info/russia-apt28-updates-its-arsenal-in-ongoing-campaigns/) - [MITRE - APT28 Group](https://attack.mitre.org/groups/G0007/)