heartbeat-rat - RunkIntel

# HeartBeat RAT > [!medium] RAT do Tonto Team - Campanha de Espionagem Coreia do Sul 2009-2012 > HeartBeat RAT é um Trojan de acesso remoto customizado desenvolvido e utilizado pelo grupo APT **Tonto Team** (também conhecido como **CactusPete** e **Bronze Butler**), de origem chinesa associada ao PLA. Ativo na [[heartbeat-campaign|Campanha Heartbeat]] entre 2009 e 2012, o malware é nomeado pelo seu mecanismo de **heartbeat C2** - verificações HTTP periódicas ao servidor de comando para manutenção do canal e recebimento de ordens. Alvejou governo, militares e mídia sul-coreanos. ## Visão Geral HeartBeat RAT é parte do arsenal do [[g0131-tonto-team]], um grupo APT atribuído à Unidade 65016 do Exército de Libertação Popular (PLA) da China, baseada em Shenyang. O malware foi documentado pela Trend Micro em 2012, que públicou análise detalhada da campanha e revelou que os códigos de campanha embutidos no malware continham timestamps das operações, permitindo reconstrução da linha do tempo da atividade maliciosa. O nome "HeartBeat" deriva da técnica de C2 utilizada: o malware faz polling HTTP periódico para o servidor de comando, funcionando como um "batimento cardíaco" - verificações regulares que simultaneamente confirmam que o endpoint comprometido ainda está ativo e verificam se há novos comandos a executar. Esta técnica é eficiente para operadores APT que gerenciam múltiplos alvos comprometidos simultaneamente. O Tonto Team utilizou o HeartBeat RAT em uma das primeiras campanhas documentadas de espionagem cibernética altamente direcionada contra alvos sul-coreanos. Os alvos incluíam partidos políticos, agências governamentais, forças militares e meios de comunicação na Coreia do Sul durante um período de intensa tensão geopolítica na Península Coreana. Os documentos isca utilizados como vetor de entrega abordavam assuntos militares norte-coreanos e questões políticas internas, maximizando a probabilidade de o alvo abrir o arquivo. Embora o HeartBeat RAT específico seja uma ferramenta de 2009-2012, o [[g0131-tonto-team]] continua ativo em 2024-2025 com ferramentas evoluídas, mantendo as mesmas métodologias: spear phishing temático + RAT com C2 via HTTP + foco em governo e defesa. ## Como Funciona **Vetor de entrega:** 1. Spear phishing com documentos Office (Word, PowerPoint) ou formato HWP (Hangul Word Processor, padrão sul-coreano) 2. Documentos com tema político ou militar relevante para o alvo específico 3. Macros maliciosas ou exploits de vulnerabilidades Office para execução **Instalação e persistência:** 1. O malware é copiado para diretório do sistema Windows (simulando arquivos legítimos) 2. Persistência via chave de registro `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` 3. Nome de arquivo e serviço escolhidos para imitar componentes do sistema operacional **Mecanismo de C2 (heartbeat):** 1. A cada intervalo configurado (tipicamente 60-120 segundos), o RAT faz requisição HTTP para o servidor C2 2. A requisição GET inclui identificador do bot e status atual 3. O servidor responde com código de comando ou "aguarde" se não houver tarefa 4. Resultado dos comandos é enviado via HTTP POST de volta ao C2 **Capacidades de espionagem:** - Execução de comandos arbitrários via cmd.exe - Enumeração de arquivos e diretórios (reconhecimento documental) - Captura de teclas pressionadas (keylogging) - Coleta de credenciais e documentos de interesse - Exfiltração via canal HTTP C2 ## Attack Flow ```mermaid graph TB A["Spear Phishing Documento HWP/Word Tema politico-militar"] --> B["Execução de Macro ou Exploit Office Arquivo malicioso aberto"] B --> C["Instalacao RAT Copia para sistema Imitando arquivos legit"] C --> D["Persistência Registro Run Key HKCU Autostart em boot"] D --> E["Heartbeat C2 HTTP polling a cada 60-120s"] E --> F["Reconhecimento Enumeracao de arquivos Documentos governamentais"] F --> G["Keylogging Captura de credenciais e comúnicacoes"] G --> H["Exfiltração HTTP Documentos politicos e militares sul-coreanos"] ``` **Legenda:** [[g0131-tonto-team]] · [[heartbeat-campaign]] · [[t1071-001-web-protocols|T1071.001]] · [[t1547-001-registry-run-keys|T1547.001]] · [[t1056-001-keylogging|T1056.001]] ## Timeline ```mermaid timeline title HeartBeat RAT - Linha do Tempo 2009 : Primeiros usos documentados : Coreia do Sul como alvo : Tonto Team iniciando operacoes 2009-2012 : Campanha HeartBeat ativa : Governo militar midia : 3+ anos sem detecção 2012 : Trend Micro analisa : Códigos de campanha revelados : Timeline reconstituida 2013+ : Grupo evolui ferramentas : Novos RATs desenvolvidos : Expansao para Japao e Russia 2019-2024 : Tonto Team ativo : Novas campanhas : Métodologia preservada ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Heartbeat HTTP polling para C2 a cada 60-120 segundos | | Registry Run Keys | [[t1547-001-registry-run-keys\|T1547.001]] | Persistência via HKCU Run Key para autostart | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução remota de comandos via cmd.exe | | File and Directory Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeração de documentos de interesse no sistema | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Técnicas de ofuscação para evadir análise | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2\|T1041]] | Exfiltração de dados coletados via canal HTTP C2 | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas para coletar credenciais e comúnicações | ## Relevância para o Brasil e LATAM > [!latam] Padrão de APT de Longa Duração Relevante para o Brasil > O ataque do Tonto Team durou **3+ anos sem detecção** — demonstrando que organizações como **Petrobras**, **Embraer** e o **Itamaraty** precisam de threat hunting proativo. Grupos APT ativos contra o Brasil (**Mustang Panda**, **APT31**) utilizam técnicas derivadas do mesmo playbook operacional: spear phishing temático + RAT C++ + heartbeat HTTP. O HeartBeat RAT é histórico, mas o [[g0131-tonto-team]] e métodologias similares têm relevância para o Brasil: **Tonto Team e interesses globais:** - O grupo expandiu seus alvos significativamente após 2012, atacando organizações na Rússia, Japão, Europa e Ásia Central - Em 2021, a CISA/NSA identificaram o Tonto Team atacando entidades de defesa americanas, indicando capacidade e interesse em alvos fora da Coreia do Sul - O Brasil, com parcerias estratégicas em defesa e tecnologia, pode ser alvo de interesse de grupos APT chineses com perfil similar ao Tonto Team **Padrão de ataque replicável:** - A técnica de documentos HWP/Office com tema relevante é adaptável a qualquer contexto: "Documento sobre política externa do Brasil" seria igualmente convincente para alvos brasileiros - O mecanismo de heartbeat C2 via HTTP é ainda amplamente utilizado por RATs modernos - o [[slothfulmedia|SLOTHFULMEDIA]] usa uma variante similar - Grupos APT ativos contra o Brasil ([[mustang-panda]], [[apt31]]) utilizam técnicas derivadas do mesmo playbook operacional **Lições para defesa:** - O ataque durou 3+ anos sem detecção, demonstrando a importância de caçada proativa de ameaças (threat hunting) - Formatos de arquivo específicos de região (HWP no caso coreano; SPED, NFe, boleto no caso brasileiro) são vetores de alto risco - A [[lgpd|LGPD]] exige notificação de incidentes de exfiltração de dados pessoais - campanhas de longa duração são particularmente prejudiciais ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - HeartBeat RAT (TLP:GREEN) > **Comportamento de rede:** > Requisições HTTP GET periódicas (a cada 60-120s) para mesmo domínio externo > User-Agent incomum ou formato de query string suspeito no polling > > **Host:** > Novo executável em System32 ou Windows com nome simulando serviço legítimo > Chave de registro Run apontando para executável em diretório do sistema não padrão > Keylogger.dat ou arquivo de log oculto em %APPDATA% > > **Fonte:** Trend Micro HeartBeat APT Campaign Report (2012) · MITRE ATT&CK G0131 **Mitigações recomendadas:** - Implementar [[m1049-antivirus|M1049]] com assinaturas para HeartBeat RAT e variantes do Tonto Team - Usar [[m1017-user-training|M1017]] com foco em documentos com formatos menos comuns (.HWP, .WPS) e phishing temático - Monitorar via [[ds0009-process-creation|DS0009]] criação de processos por aplicativos Office com execução de cmd.exe - Aplicar [[m1022-restrict-file-and-directory-permissions|M1022]] para limitar escrita em diretórios do sistema - Detectar polling HTTP via [[ds0029-network-traffic|DS0029]] com regras para requisições altamente periódicas ## Referências - [1](https://documents.trendmicro.com/assets/HeartBeat-APT-Campaign.pdf) Trend Micro - HeartBeat: Targeted Attacks Against South Korea (2012) - [2](https://attack.mitre.org/groups/G0131/) MITRE ATT&CK - Tonto Team G0131 - [3](https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses) Secureworks - Bronze Butler Targets Japanese Businesses (2017) - [4](https://www.kaspersky.com/blog/cactuspete-apt-tonto-team/40218/) Kaspersky - CactusPete APT Analysis (2021) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.heartbeat) Malpedia - HeartBeat Entry - [6](https://www.trendmicro.com/en_us/research/22/c/tonto-team-targets-security-companies.html) Trend Micro - Tonto Team Targets Security Companies (2022)