# Operation Boxrat > [!high] Espionagem Marítima e de Defesa - APT40/Leviathan MSS Hainan > Operation Boxrat é o nome dado a uma série de campanhas de espionagem cibernética conduzidas pelo grupo chinês APT40 (Leviathan/TEMP.Periscope), vinculado ao MSS da província de Hainan. Alvo: organizações de defesa naval, engenharia marítima e governos com interesse no Mar do Sul da China. Ferramentas características: BADFLICK backdoor, AIRBREAK loader e China Chopper webshell. ## Visão Geral Operation Boxrat é o nome de cluster utilizado para descrever campanhas de espionagem do grupo [[g0065-leviathan]] (também rastreado como [[g0065-leviathan]], TEMP.Periscope e TEMP.Jumper), um ator de ameaça avançado vinculado ao Ministério de Segurança do Estado (MSS) da China, específicamente ao Departamento de Segurança do Estado de Hainan (HSSD). O grupo foi sancionado pelos EUA em 2021 juntamente com indiciamentos de membros identificados como funcionários da empresa de fachada Hainan Xiandun Technology Development. As campanhas do Boxrat focam em organizações com informações relevantes para os objetivos estratégicos chineses no Mar do Sul da China: estaleiros, empresas de engenharia naval, contratados de defesa, universidades com programas de pesquisa em ciências do mar, e agências governamentais envolvidas em política marítima. A Mandiant documentou o comprometimento de dezenas de organizações nos EUA, Europa e Ásia entre 2017 e 2021. O arsenal do Leviathan/APT40 inclui várias ferramentas customizadas: BADFLICK (backdoor modular), AIRBREAK (loader que usa conteúdo web legítimo como C2), HOMEFRY (password dumper) e MURKYTOP (backdoor). Além de ferramentas próprias, o grupo faz uso extensivo de [[s0020-china-chopper|China Chopper]] webshell para acesso persistente a servidores web comprometidos. > [!latam] Relevância para o Brasil e LATAM > A relevância para o Brasil é limitada geograficamente — o foco histórico do **APT40/Leviathan** é o Indo-Pacífico. No entanto, organizações brasileiras com contratos de **defesa naval** (Programa PROSUB), tecnologia oceânica ou parceiros em países do sudeste asiático podem ser alvo como ponto de entrada em cadeias de suprimentos globais. O comprometimento de pesquisas navais e dados de defesa tem implicações estratégicas para qualquer país com programas militares navais. A relevância para o Brasil é limitada geograficamente - o foco histórico do APT40 é o Indo-Pacífico - mas organizações brasileiras com contratos de defesa naval, tecnologia oceânica ou parceiros em países do sudeste asiático podem ser alvo como ponto de entrada em cadeias de suprimentos globais. ## Ferramentas e Técnicas O arsenal do APT40/Leviathan nas campanhas Boxrat inclui: **Malware customizado:** - **BADFLICK**: backdoor modular com capacidades de coleta, exfiltração e execução remota - **AIRBREAK**: loader único que usa comentários em páginas web legítimas (Pastebin, GitHub, fóruns) como canal de C2 - técnica de "dead drop resolver" - **HOMEFRY**: dumper de credenciais e senhas - **MURKYTOP**: backdoor de reconhecimento, coleta de informações do sistema **Ferramentas de terceiros:** - [[s0020-china-chopper|China Chopper]]: webshell amplamente utilizada para acesso persistente a servidores web - [[mimikatz|Mimikatz]]: coleta de credenciais - CVE-2017-11882 (Microsoft Equation Editor): exploração para entrega de payload via documento Office malicioso ```mermaid graph TB A["📧 Spear-Phishing<br/>Documentos Word/PDF<br/>temática marítima/defesa"] --> B["💥 CVE-2017-11882<br/>Equation Editor<br/>execução de código"] B --> C["📥 AIRBREAK Loader<br/>C2 via comentários<br/>em sites legítimos"] C --> D["🚪 BADFLICK Backdoor<br/>Módulos: coleta<br/>exfil, execução"] D --> E["🔑 HOMEFRY<br/>Dump de credenciais<br/>e senhas do sistema"] E --> F["🌐 China Chopper<br/>Webshell em servidores<br/>comprometidos"] F --> G["📤 Exfiltração<br/>Dados de defesa naval<br/>projetos marítimos"] ``` *Ator: [[g0065-leviathan]] · [[g0065-leviathan]] - Técnica característica: [[t1102-web-service|T1102]] dead drop resolver* ## TTPs MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566.001 | Spearphishing Attachment | Acesso Inicial | Documentos Office com CVE-2017-11882 | | T1203 | Exploitation for Client Execution | Execução | CVE-2017-11882 Equation Editor exploit | | T1547.001 | Registry Run Keys | Persistência | BADFLICK mantido via chaves Run | | T1071 | Application Layer Protocol | C2 | AIRBREAK usando HTTP/HTTPS para C2 | | T1027 | Obfuscated Files | Evasão | Payloads ofuscados, strings codificadas | | T1056.001 | Keylogging | Coleta | Captura de credenciais e atividade | | T1005 | Data from Local System | Coleta | Documentos sensíveis de defesa e projetos | | T1078 | Valid Accounts | Persistência | Credenciais roubadas para acesso continuado | ## Cronologia das Campanhas ```mermaid timeline title APT40 - Operation Boxrat 2017 : Primeiras campanhas documentadas : Foco em estaleiros e defesa : TEMP.Periscope identificado 2018 : Expansão para universidades : Pesquisa naval comprometida : FireEye documenta AIRBREAK 2019-2020 : Alvos em 10+ países : Parceiros de defesa EUA : Tecnologia oceânica 2021 : DOJ indicia 4 agentes MSS : Hainan Xiandun identificada : Operações reduzidas ``` ## Contexto Geopolítico O [[g0065-leviathan]] opera em suporte direto aos objetivos estratégicos da China no Mar do Sul da China - uma das disputas territoriais mais complexas do mundo, envolvendo reivindicações conflitantes da China, Vietnã, Filipinas, Malásia, Brunei e Taiwan. A espionagem marítima viabiliza vantagens táticas e tecnológicas na modernização da Marinha do Povo Libertador (PLA Navy). Para o [[government|governo]] brasileiro e empresas de [[defense|defesa]] com programas navais (como o Programa de Desenvolvimento de Submarinos - PROSUB), a ameaça é real mas não direcionada específicamente ao Brasil - exceto quando parceiros ou fornecedores de tecnologia que colaboram com programas similares são comprometidos. ## Detecção e Defesa **Indicadores comportamentais:** - Processo EQNEDT32.EXE (Equation Editor) gerando processo filho - indica exploração de CVE-2017-11882 - Comúnicação HTTP para repositórios públicos (Pastebin, GitHub) para obter configuração de C2 - China Chopper webshell: arquivo ASPX/PHP com conteúdo Base64 em linha única em servidores web - BADFLICK: processo com nome de arquivo randômico em `%TEMP%` estabelecendo conexão TCP persistente - Criação de arquivo .bat na pasta `%APPDATA%` seguida de execução persistente **Mitigações prioritárias:** - Aplicar patch Microsoft para CVE-2017-11882 (atualização MS17-006) - ainda relevante para sistemas desatualizados - [[m1049-antivirus-antimalware|EDR]] com detecção de webshells China Chopper em servidores web - Monitoramento de acesso a repositórios web públicos (Pastebin) por processos de sistema - [[m1030-network-segmentation|Segmentação de rede]] entre redes de engenharia/P&D e redes corporativas ## Referências - [1](https://www.mandiant.com/resources/blog/apt40-examining-a-china-nexus-espionage-actor) Mandiant/FireEye - APT40: Examining a China-Nexus Espionage Actor (2021) - [2](https://www.justice.gov/opa/pr/four-chinese-nationals-working-secret-police-charged-global-computer-intrusion-campaign) DOJ - Four Chinese Nationals Charged (2021) - [3](https://attack.mitre.org/groups/G0065/) MITRE ATT&CK - Leviathan Group G0065 - [4](https://www.acsc.gov.au/sites/default/files/2021-07/2021-008%20ACSC%20Advisory%20-%20APT40.pdf) ACSC/NCSC/NSA - APT40 Advisory (2021) - [5](https://malpedia.caad.fkie.fraunhofer.de/actor/leviathan) Malpedia - Leviathan