# CVE-2015-3113 > [!medium] Zero-Day Flash Explorado na Operação Clandestine Wolf - APT3 > Vulnerabilidade heap overflow crítica no Adobe Flash Player, explorada como zero-day pelo grupo **APT3** (UPS/Gothic Panda) na campanha **Operation Clandestine Wolf** para comprometer alvos de alto valor nos setores de defesa, aeroespacial e telecomúnicações. ## Visão Geral A [[cve-2015-3113|CVE-2015-3113]] é uma vulnerabilidade de heap overflow no Adobe Flash Player que permite execução remota de código. Foi descoberta sendo explorada ativamente como zero-day pelo grupo de espionagem [[apt3|APT3]] (também conhecido como UPS e Gothic Panda) na campanha [[operation-clandestine-wolf|Operation Clandestine Wolf]], antes mesmo de qualquer patch disponível. A FireEye identificou a campanha ao detectar e-mails de spear phishing entregando links para páginas com o exploit Flash, direcionados principalmente a indústrias dos setores aeroespacial, de defesa e telecomúnicações nos Estados Unidos e na Europa. O APT3 é um grupo de espionagem ligado ao governo chinês, conhecido por utilizar zero-days sofisticados de forma rápida após aquisição. A Adobe emitiu um patch de emergência fora do ciclo regular em menos de 48 horas após a divulgação pública, indicando a gravidade operacional da falha. Este caso exemplifica o modelo de exploração rápida de zero-days por grupos APT: identificação de vulnerabilidade → desenvolvimento de exploit → campanhas direcionadas → divulgação pública forçada. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Adobe Flash Player | | Tipo | Heap Overflow | | Vetor | Rede (link malicioso via spear phishing) | | Exploração | Zero-day (ativa antes do patch) | | Atribuição | APT3 / UPS (China) | | CVSS Base | 10.0 | ## Campanha Operation Clandestine Wolf - **Vetor de entrega**: Spear phishing com links para páginas hospedando o exploit Flash - **Setores alvejados**: Aeroespacial, defesa, telecomúnicações - **Geolocalização**: Foco em EUA e Europa - **Implante pós-exploração**: SHOTPUT/Pirpi backdoor (marca registrada do APT3) - **Timeline**: Exploração ativa detectada antes de qualquer divulgação pública ## TTPs Relacionados - [[t1189-drive-by-compromise|T1189]] - Comprometimento por Drive-by - [[t1566-002-spearphishing-link|T1566.002]] - Spear Phishing via Link - [[t1203-exploitation-for-client-execution|T1203]] - Exploração para Execução no Cliente ## Contexto Histórico O APT3 foi um dos grupos mais prolíficos no uso de zero-days em Flash Player entre 2014-2016. A empresa Adobe finalmente encerrou o desenvolvimento do Flash em 2020 após décadas de vulnerabilidades críticas que tornaram o plugin o vetor de ataque preferido de grupos APT e criminosos. > [!latam] Relevância para Brasil e LATAM > Embora esta campanha focou em alvos norte-americanos e europeus, o APT3 e grupos similares de espionagem chinesa têm expandido operações para a América Latina, especialmente em setores de telecomúnicações, energia e governo. A obsolescência do Flash Player é uma lição sobre os riscos de dependência de software sem ciclo ativo de patches. ## Referências - [FireEye - Operation Clandestine Wolf](https://www.fireeye.com/blog/threat-research/2015/06/operation-clandestine-wolf-adobe-flash-zero-day.html) - [Adobe Security Bulletin APSB15-14](https://helpx.adobe.com/security/products/flash-player/apsb15-14.html) - [NVD - CVE-2015-3113](https://nvd.nist.gov/vuln/detail/CVE-2015-3113)