chopstick - RunkIntel

# CHOPSTICK > [!info] Identidade do Malware > **Tipo:** backdoor modular · **MITRE:** [S0023](https://attack.mitre.org/software/S0023) · **Grupo:** [[g0007-apt28|APT28]] (Fancy Bear / GRU) > **Plataformas:** Windows, Linux · **Ativo desde:** 2012 · **Fase:** segunda fase (implante persistente) > **Aliases:** X-Agent, SPLM, Xagent, Backdoor.SofacyX, webhp ## Visão Geral [[chopstick|CHOPSTICK]] é o implante de segunda fase central do [[g0007-apt28|APT28]], o grupo de espionagem atribuído ao GRU (inteligência militar russa). Ativo desde pelo menos 2012, o malware foi empregado nas campanhas mais consequentes do APT28, incluindo a intrusão no Comitê Nacional Democrático (DNC) dos EUA em 2016, operações contra a OTAN e múltiplos governos europeus. Sua arquitetura modular permite atualizações de capacidades sem substituição do implante, tornando-o um dos backdoors de espionagem mais longevos em operação contínua. O CHOPSTICK é rastreado separadamente do [[x-agent-for-android|X-Agent for Android]], embora compartilhe a mesma base de desenvolvimento. A variante Linux demonstra que o [[g0007-apt28|APT28]] opera em ambientes heterogêneos com o mesmo nível de sofisticação. O malware armazena sua configuração criptografada com RC4 no registro do Windows ([[t1027-011-fileless-storage|T1027.011]]), tornando-o invisível para scanners de arquivos convencionais. ## Como Funciona O CHOPSTICK é tipicamente entregue como malware de segunda fase após comprometimento inicial via [[t1566-phishing|phishing]] ou exploit de browser. Ao ser instalado, o malware: 1. **Persistência fileless** - armazena configuração criptografada (RC4) em chaves de registro ([[t1112-modify-registry|T1112]]), sem arquivos em disco que possam ser detectados por AV 2. **Reconhecimento de ambiente** - verifica produtos de segurança instalados ([[t1518-001-security-software-discovery|T1518.001]]) e detecta ambientes de sandbox/VM ([[t1497-virtualizationsandbox-evasion|T1497]]) antes de prosseguir 3. **Comúnicação C2 multi-canal** - suporta HTTP/HTTPS ([[t1071-001-web-protocols|T1071.001]]), SMTP/IMAP ([[t1071-003-mail-protocols|T1071.003]]) e canais de fallback ([[t1008-fallback-channels|T1008]]) para resiliência 4. **Air-gap bridging** - em redes isoladas, propaga-se via USB ([[t1091-replication-through-removable-media|T1091]]) e usa mídia removível para exfiltrar dados ([[t1092-communication-through-removable-media|T1092]]) 5. **Coleta de inteligência** - executa keylogging ([[t1056-001-keylogging|T1056.001]]), captura de tela ([[t1113-screen-capture|T1113]]) e listagem de arquivos ([[t1083-file-and-directory-discovery|T1083]]) A técnica de air-gap via USB é especialmente notável: o CHOPSTICK monitora dispositivos removíveis, replica-se neles e usa arquivos ocultos no USB para troca de comandos e dados com o C2 - permitindo operar em redes completamente desconectadas da internet. ## Attack Flow ```mermaid graph TB A["Entrega via spearphishing Documento Office malicioso APT28 - alvo estratégico"] --> B["Implante de 1a fase SOFACY / GAMEFISH Estabelece foothold inicial"] B --> C["Download CHOPSTICK Implante de 2a fase Armazenado fileless no registro"] C --> D["Anti-sandbox check Verificação de VM T1497 Security software T1518.001"] D --> E["Persistência RC4 registry Configuração criptografada Sem arquivos em disco T1027.011"] E --> F["Multi-channel C2 HTTP/HTTPS + SMTP/IMAP Fallback channels T1008"] F --> G["Coleta de inteligencia Keylog T1056.001 Screenshot T1113"] G --> H["Air-gap USB bridging Replicas em USB T1091 Exfiltração via midia T1092"] classDef delivery fill:#e74c3c,color:#fff classDef install fill:#e67e22,color:#fff classDef evasion fill:#27ae60,color:#fff classDef persist fill:#3498db,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef collect fill:#1abc9c,color:#fff classDef airgap fill:#2c3e50,color:#fff class A delivery class B,C install class D,E evasion class F,G persist class G collect class H airgap ``` **Legenda:** [[g0007-apt28|APT28]] - [[t1497-virtualizationsandbox-evasion|T1497]] - [[t1027-011-fileless-storage|T1027.011]] - [[t1092-communication-through-removable-media|T1092]] ## Timeline de Campanhas ```mermaid timeline title CHOPSTICK - Historico de Operacoes APT28 2012 : Primeiras amostras identificadas : Alvos governamentais europeus 2014 : Operação Pawn Storm : Spearphishing diplomatico 2015 : Bundestag alemao comprometido : 16 GB de dados exfiltrados 2016 : Intrusão no DNC dos EUA : Eleicoes presidenciais : Atribuicao publica pela CrowdStrike 2017 : Campanhas contra OTAN e UE : Variantes Linux identificadas 2018 : Continuacao de operacoes : Alvos militares OTAN 2020 : Operacoes contra setores COVID : Pesquisadores de vacinas 2022 : Reativacao pos-invasao Ucrania : Alvos governamentais europeus ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Fallback Channels | [[t1008-fallback-channels\|T1008]] | C2 secundario quando canal primario bloqueado | | Removable Media Comms | [[t1092-communication-through-removable-media\|T1092]] | Air-gap via USB em redes isoladas | | Internal Proxy | [[t1090-001-internal-proxy\|T1090.001]] | Proxy em hosts comprometidos | | Mail Protocols | [[t1071-003-mail-protocols\|T1071.003]] | C2 via SMTP/IMAP | | Fileless Storage | [[t1027-011-fileless-storage\|T1027.011]] | Config RC4 no registro Windows | | Sandbox Evasion | [[t1497-virtualizationsandbox-evasion\|T1497]] | Anti-VM/sandbox antes de ativar | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas digitadas | | Screen Capture | [[t1113-screen-capture\|T1113]] | Screenshots periodicos | | USB Replication | [[t1091-replication-through-removable-media\|T1091]] | Propagação via USB | | Modify Registry | [[t1112-modify-registry\|T1112]] | Armazenamento de configuração | ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] tem interesse operacional em alvos de alto valor geopolitico, e o Brasil representa um alvo relevante por sua posicao diplomatica no G20, BRICS e como principal economia da América Latina. O risco e especialmente elevado para: - **Setor diplomatico/Itamaraty:** o APT28 historicamente compromete ministérios de relacoes exteriores europeus; o Brasil mantem posicoes independentes em conflitos geopoliticos que interessam a Russia - **Setor de defesa:** empresas como Embraer e o Ministerio da Defesa sao alvos plausíveis em contexto de inteligência militar - **Períodos eleitorais:** o APT28 tem historico documentado de interferencia eleitoral (EUA 2016, Franca 2017); eleicoes brasileiras sao cenário de alto risco - **Infraestrutura critica:** energeticas e telecomúnicacoes com redes heterogeneas Windows/Linux sao vulneraveis a variantes multi-plataforma do CHOPSTICK A capacidade de air-gap via USB e particularmente relevante para organizacoes brasileiras governamentais que operam redes segmentadas - o CHOPSTICK pode comprometer essas redes através de dispositivos de funcionarios que transitam entre redes. ## Detecção **Fontes de dados recomendadas:** - **Windows Registry Monitoring:** valores de alta entropia em chaves como `HKCU\Software\Microsoft\Windows\CurrentVersion\` com nomes de parametros aleatorios - padrao de armazenamento RC4 do CHOPSTICK - **Sysmon Event ID 11 (FileCreaté) + Event ID 3 (NetworkConnect):** arquivos criados em dispositivos removíveis seguidos de conexoes de rede - indicador de operação de air-gap - **Email server logs:** conexoes IMAP de processos nao-clientes de email (outlook.exe, thunderbird.exe) - uso de SMTP/IMAP como canal C2 ([[t1071-003-mail-protocols|T1071.003]]) - **Process monitoring:** execução de processos em horario incomum com acesso a APIs de captura de tela (GDI+, BitBlt) - keylogging/screenshot em background **Regras de detecção:** - **YARA:** `apt_sofacy_chopstick.yar` - strings RC4 caracteristicas, estrutura de comunicação C2 multi-protocolo (Florian Roth/signature-base) - **Sigma:** registry modification by non-system processes in `HKCU\Software\` com valores binarios grandes (>1KB) - possível configuração criptografada - **Suricata/Snort:** padroes de heartbeat HTTP com intervalos regulares (60-300s) para IPs nao categorizados - padrao de beacon do CHOPSTICK ## Referências - [1](https://attack.mitre.org/software/S0023) MITRE ATT&CK - S0023 CHOPSTICK (2024) - [2](https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/) CrowdStrike - Bears in the Midst: Intrusion into the Democratic National Committee (2016) - [3](https://www.welivesecurity.com/2016/10/20/en-root-sednit-part-2-observing-the-comings-and-goings/) ESET WeLiveSecurity - En Route with Sednit: Observing the Comings and Goings (2016) - [4](https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf) F-Secure - Sofacy Recycles Carberp and Metasploit Code (2014) - [5](https://www.mandiant.com/resources/apt28-a-window-into-russias-cyber-espionage-operations) Mandiant - APT28: A Window Into Russia's Cyber Espionage Operations (2014) - [6](https://unit42.paloaltonetworks.com/unit42-sofacy-groups-parallel-intruder/) Palo Alto Unit42 - Sofacy Group's Parallel Intruder (2018)