pitty-tiger-rat - RunkIntel

# PittyTiger RAT > [!medium] Arsenal de RATs do APT24 - Espionagem desde 2011 > PittyTiger RAT é o conjunto de ferramentas de acesso remoto desenvolvido e operado pelo grupo de ameaça persistente avançada **APT24** (também conhecido como **Pitty Tiger**), de origem chinesa, ativo desde pelo menos 2011. O arsenal inclui múltiplas variantes: **CT RAT** (evolução do PittyTiger), **MM RAT** (Troj/Goldsun-B) e **Paladin RAT** (variante do Gh0st RAT). Documentado pelo relatório da **Airbus Defence & Space** em 2014. ## Visão Geral O grupo Pitty Tiger, rastreado também como APT24, é um ator de ameaça de origem chinesa documentado em atividade desde pelo menos 2011. O grupo tornou-se notório após a públicação do relatório detalhado da Airbus Defence & Space em 2014, que descreveu as operações de espionagem e o arsenal de RATs desenvolvido e usado pelo grupo. O nome "Pitty Tiger" deriva do uso do RAT homônimo como ferramenta principal. O arsenal técnico do grupo é notável pela variedade: o PittyTiger RAT original evoluiu para o CT RAT (segunda geração), enquanto o grupo também empregava o MM RAT (identificado como Troj/Goldsun-B) e o Paladin RAT, uma variante modificada do popular [[gh0st-rat|Gh0st RAT]] de código aberto. Essa diversidade de ferramentas sugere capacidade própria de desenvolvimento e acesso a código-fonte de ferramentas comuns no ecossistema de ameaças de língua chinesa. Os vetores de ataque preferidos do grupo eram spear phishing com documentos Office maliciosos que exploravam vulnerabilidades conhecidas: CVE-2012-0158 (Microsoft Office ActiveX, altamente explorada em 2012-2014) e CVE-2014-1761 (Microsoft Word RTF). A combinação de exploits atuais com RATs customizados é característica de grupos APT patrocinados por estado que desenvolvem capacidades próprias mas também reutilizam ferramentas de código aberto. O Pitty Tiger operou num modelo identificado como "hacking-as-a-service" por pesquisadores: o grupo comprometia múltiplos alvos de setores diferentes, sugerindo venda de acesso ou serviços de espionagem a múltiplos clientes estatais, ao invés de foco em um único setor estratégico. ## Como Funciona **PittyTiger RAT (variante original):** - RAT C++ com funcionalidades completas de acesso remoto - Comúnicação via HTTP/HTTPS com servidores C2 (alguns hospedados em Taiwan e Hong Kong) - Capacidades: shell remoto, upload/download de arquivos, captura de tela, keylogging - Persistência via serviço Windows ou chave de registro Run **CT RAT (segunda geração):** - Evolução do PittyTiger original com arquitetura modular - Funcionalidades ampliadas: enumeração de rede, captura de áudio/vídeo - Protocolo de comunicação customizado sobre TCP/UDP - Ofuscação aprimorada para evasão de antivírus **MM RAT (Troj/Goldsun-B):** - RAT de terceiro nível, usado para operações de reconhecimento - Capacidade de persistência e movimento lateral - Exfiltração via HTTP para servidores C2 taiwaneses **Paladin RAT (variante Gh0st):** - Modificação do Gh0st RAT de código aberto com customizações do grupo - Protocolo ZLIB para compressão de tráfego C2 - Magic bytes customizados no cabeçalho do protocolo para identificação **Cadeia de comprometimento:** 1. Spear phishing com documento Office com macro ou exploit embutido 2. Execução do dropper via CVE-2012-0158 ou CVE-2014-1761 3. Implantação silenciosa do RAT de primeiro estágio (PittyTiger ou MM RAT) 4. Reconhecimento da rede e do alvo via comandos remotos 5. Upgrade para CT RAT para operações avançadas e exfiltração 6. Exfiltração contínua de documentos, emails e credenciais ## Attack Flow ```mermaid graph TB A["Spear Phishing Documento Office CVE-2012-0158"] --> B["Dropper Instalacao silenciosa do RAT inicial"] B --> C["PittyTiger RAT Acesso inicial persistência"] C --> D["Reconhecimento Mapeamento de rede e repositorios"] D --> E["Upgrade RAT CT RAT instalado para operacoes avancadas"] E --> F["Keylogging Captura de tela e credenciais"] F --> G["Exfiltração FTP/HTTP Documentos e emails para C2 na Asia"] G --> H["Espionagem continua Acesso persistente por meses/anos"] ``` **Legenda:** [[pitty-tiger]] · [[apt24]] · [[gh0st-rat]] · [[cve-2012-0158|CVE-2012-0158]] · [[cve-2014-1761|CVE-2014-1761]] · [[t1048-exfiltration-over-alternative-protocol|T1048]] · [[t1082-system-information-discovery|T1082]] ## Timeline ```mermaid timeline title Pitty Tiger / APT24 - Linha do Tempo 2011 : Primeiras atividades : Alvos nao identificados : RAT inicial desenvolvido 2012 : Expansao de operacoes : Exploração CVE-2012-0158 : Alvos governamentais europeus 2014 : Relatorio Airbus D&S : Arsenal documentado : CT RAT, MM RAT identificados 2014 : CVE-2014-1761 explorado : Campanhas contra defesa : Setores aeroespacial e governo 2015-2016 : Atividade reduzida : Mudanca de infraestrutura : Após exposicao publica 2016+ : Rastros perdidos : Possível rebrand : Ferramentas atualizadas ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Shell remoto via cmd.exe para execução de comandos | | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links maliciosos em emails direcionados a alvos | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2012-0158 e CVE-2014-1761 em Office | | Exfiltration over Alt Protocol | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | FTP e HTTP customizado para exfiltração | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTP/HTTPS para servidores em Taiwan/HK | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Fingerprinting de sistemas comprometidos | | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Coleta de documentos, emails e credenciais locais | ## Relevância para o Brasil e LATAM > [!latam] Espionagem Industrial e Governamental no Brasil > O modelo de "hacking-as-a-service" do APT24 é diretamente aplicável ao Brasil: **Embraer**, **IMBEL** e o **Itamaraty** correspondem ao perfil de alvos preferidos — defesa, aeroespacial e governo. Padrão de spear phishing + RAT HTTP persiste em grupos modernos que atacam a região. APT24/Pitty Tiger e ferramentas similares de espionagem patrocinadas por estado são relevantes para o Brasil: **Padrão de alvos:** - O grupo focou em [[government|governo]], [[defense|defesa]] e indústrias aeroespaciais - setores com presença significativa no Brasil (Embraer, IMBEL, Defesa Nacional, Itamaraty) - O modelo de "hacking-as-a-service" sugere que capacidades similares podem ser alugadas para atacar alvos específicos por atores estatais com interesse na LATAM - O Brasil, como maior economia da LATAM, é alvo de interesse para espionagem industrial e governamental por múltiplos atores estatais **Relevância técnica atual:** - Embora o PittyTiger RAT específico seja obsoleto, o padrão de ataque persiste: spear phishing + RAT customizado + exfiltração discreta - Variantes modernas de Gh0st RAT e técnicas similares continuam em uso por grupos de espionagem de origem asiática - O [[technology|setor de tecnologia]] e [[manufacturing|manufatura]] brasileiros são alvos de espionagem industrial por atores similares **Importância para políticas de segurança:** - O caso do Pitty Tiger demonstrou a necessidade de defesas contra APTs de longa duração (meses/anos de acesso persistente) - Órgãos governamentais brasileiros precisam de controles para detectar RATs de comunicação HTTP discreta ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - PittyTiger RAT (TLP:GREEN) > **Padrões de rede:** > Conexões HTTP periódicas de curta duração para IPs em Taiwan/Hong Kong > User-Agent customizado ou malformado em requisições de RAT > Tráfego ZLIB para servidores não reconhecidos (Paladin RAT) > > **Comportamento no host:** > Processo filho do Office criando arquivo executável > Novo serviço Windows instalado após abertura de documento > Acesso a keylogger.dat ou captura de tela periódica em %APPDATA% > > **Fonte:** Airbus Defence & Space (2014) · Malpedia · MITRE ATT&CK **Mitigações recomendadas:** - Aplicar [[m1049-antivirus|M1049]] com assinaturas para variantes de Gh0st RAT e PittyTiger - Usar [[m1017-user-training|M1017]] para treinamento anti-spear phishing em setores de defesa e governo - Implementar [[m1013-application-developer-guidance|M1013]] com patch agressivo para vulnerabilidades Office - Monitorar via [[ds0029-network-traffic|DS0029]] conexões HTTP periódicas para destinos externos incomuns - Aplicar [[m1021-restrict-web-based-content|M1021]] com proxy para inspecionar tráfego de saída HTTP/HTTPS ## Referências - [1](https://blog.airbusds-cyber.com/PittyTiger) Airbus Defence & Space - Operation Pitty Tiger Full Report (2014) - [2](https://malpedia.caad.fkie.fraunhofer.de/details/win.pitty_tiger) Malpedia - PittyTiger Entry - [3](https://www.fireeye.com/blog/threat-research/2014/09/apt24-report-summary.html) FireEye - APT24 Report Summary (2014) - [4](https://attack.mitre.org/groups/G0011/) MITRE ATT&CK - PittyTiger Group (G0011) - [5](https://www.secureworks.com/research/threat-profiles/iron-tiger) Secureworks - Iron Tiger Threat Profile (similar toolset) - [6](https://documents.trendmicro.com/assets/pdf/pittyTiger.pdf) Trend Micro - Pitty Tiger Analysis (2014)