# BISCUIT > [!medium] Backdoor do APT1 ativo desde 2007 com capacidades completas de espionagem > BISCUIT é um backdoor Windows usado pelo **APT1** (Comment Crew) em campanhas de espionagem industrial de longa duração. Foi exposto públicamente no relatório Mandiant de 2013, o mais detalhado já públicado sobre um grupo APT chinês. ## Visão Geral BISCUIT é um backdoor modular utilizado pelo [[g0006-apt1|APT1]] (também conhecido como Comment Crew, Comment Group ou PLA Unit 61398) em operações de espionagem cibernética contra empresas norte-americanas e ocidentais desde pelo menos 2007. O malware foi documentado em profundidade no marco relatório da Mandiant de fevereiro de 2013, que expôs as operações do APT1 ao público pela primeira vez com evidências atribuindo o grupo a uma unidade militar da [[República Popular da China]]. O BISCUIT representa o estágio de persistência de longo prazo no modelo operacional do [[g0006-apt1|APT1]]: após ganhar acesso inicial via spear-phishing, o grupo instalava o BISCUIT para manter presença persistente em redes corporativas por meses ou anos. A ferramenta é projetada para operação silenciosa - coletando dados de forma discreta enquanto o operador humano aguarda o momento certo para exfiltração em massa ou escalada. Do ponto de vista técnico, o BISCUIT implementa criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) para proteger o tráfego C2, múltiplos canais de fallback ([[t1008-fallback-channels|T1008]]) para resiliência caso o canal principal seja bloqueado, e capacidades de coleta passiva como keylogging ([[t1056-001-keylogging|T1056.001]]) e capturas de tela periódicas ([[t1113-screen-capture|T1113]]). O backdoor executa comandos via shell Windows e pode fazer download e execução de payloads adicionais para escalar as capacidades de coleta. O [[g0006-apt1|APT1]] operou campanhas sistemáticas contra setores estratégicos - energia, aeroespacial, defesa, telecomúnicações e manufatura de ponta - com o objetivo específico de roubar propriedade intelectual e segredos comerciais em escala industrial. O relatório Mandiant estimou que o grupo comprometeu pelo menos 141 organizações em 20 anos de operações, exfiltrando terabytes de dados em cada intrusão bem-sucedida. ## Como Funciona ```mermaid graph TB A["📧 Spear-phishing<br/>Anexo malicioso"] --> B["💥 Entrega BISCUIT<br/>Instalação silenciosa"] B --> C["🔐 Conexão C2<br/>Criptografia assimétrica"] C --> D["🔍 Reconhecimento<br/>Processos, sistema, usuário"] D --> E["⌨️ Coleta passiva<br/>Keylogging + Screenshot"] E --> F["📦 Download payloads<br/>Ferramentas adicionais"] F --> G["📤 Exfiltração<br/>RAR comprimido + C2"] ``` O BISCUIT opera em ciclo de coleta contínuo: após instalação, estabelece comunicação C2 com criptografia assimétrica e começa a catalogar o ambiente (processos em execução via [[t1057-process-discovery|T1057]], informações do sistema via [[t1082-system-information-discovery|T1082]], usuário logado via [[t1033-system-owneruser-discovery|T1033]]). Em paralelo, mantém keylogging persistente e captura screenshots em intervalos regulares. Se o canal C2 primário é bloqueado, ativa canais de fallback ([[t1008-fallback-channels|T1008]]) para garantir comunicação. ## TTPs Detalhadas | Tática | Técnica | Uso no BISCUIT | |--------|---------|----------------| | Coleta | [[t1113-screen-capture\|T1113]] | Capturas de tela periódicas do desktop | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Registro de teclas para capturar senhas | | C2 | [[t1008-fallback-channels\|T1008]] | Múltiplos servidores C2 para resiliência | | C2 | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Criptografia de tráfego de comando | | Discovery | [[t1057-process-discovery\|T1057]] | Lista processos em execução | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta informações do sistema | | Discovery | [[t1033-system-owneruser-discovery\|T1033]] | Identifica usuário e proprietário | | Discovery | [[t1124-system-time-discovery\|T1124]] | Verifica fuso horário e hora do sistema | | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via cmd.exe | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | ## Detecção e Defesa **Fontes de dados recomendadas:** - **Sysmon Event ID 3 (NetworkConnect):** Conexões de saída persistentes de processos não relacionados a browsers para IPs externos em portas não-padrão - indicativo de C2 assimétrico - **Sysmon Event ID 1 (ProcessCreate):** Criação de processos filhos por aplicações Office ou PDF sem interação do usuário - padrão de instalação via phishing - **EDR - Screen Capture APIs:** Chamadas a `BitBlt`, `GetDC` ou APIs GDI por processos sem interface gráfica visível em segundo plano **Mitigações aplicáveis:** - [[m1049-antivirus-antimalware|M1049]] - Antivírus/EDR com detecção comportamental - [[m1031-network-intrusion-prevention|M1031]] - IPS para bloquear tráfego C2 criptografado anômalo - [[m1017-user-training|M1017]] - Treinamento anti-phishing para vetores de entrega do APT1 ## Relevância LATAM/Brasil O [[g0006-apt1|APT1]] foi exposto em 2013 e as operações documentadas focaram primariamente em alvos norte-americanos. No entanto, as TTPs do BISCUIT - spear-phishing + backdoor persistente + exfiltração lenta - são o padrão de referência para compreender operações de espionagem industrial por grupos APT que afetam o Brasil. Empresas brasileiras do setor de energia (Petrobras), aeroespacial (Embraer), telecomúnicações e defesa são alvos de grupos com TTPs similares ao [[g0006-apt1|APT1]]. O modelo operacional do BISCUIT é replicado por grupos como [[g0045-apt10|APT10]] e [[g0096-apt41|APT41]] que operam ativamente na América Latina. ## Referências - [MITRE ATT&CK - S0017](https://attack.mitre.org/software/S0017) - [Mandiant - APT1: Exposing One of China's Cyber Espionage Units](https://www.mandiant.com/resources/reports/apt1-exposing-one-of-chinas-cyber-espionage-units) - Fevereiro 2013