Hunting China-Nexus Threat Actor

Nos últimos anos, tem se intensificado a atuação de grupos APT associados à China, com campanhas altamente direcionadas e sustentadas por motivações estratégicas de longo prazo. Entre eles, destaca-se o Earth Alux, um grupo China-Nexus, conhecido por sua abordagem furtiva e pela capacidade de manter acesso persistente a redes de interesse por longos períodos, visando exfiltração de dados sensíveis.

Suas operações têm como alvos setores críticos, como governo, tecnologia, logística, manufatura, telecomunicações e serviços de TI, com foco especial nas regiões da APAC e América Latina.

Diante disso, esta pesquisa tem como objetivo investigar os recursos técnicos utilizados pelo grupo, mapeando sua infraestrutura e revelando padrões que possam auxiliar na detecção e compreensão desse adversário.

Para aprofundar a compreensão sobre o Earth Alux, recomendo as seguintes análises:

Heimdall Security Research | Análise do Poderoso Toolkit de um APT Chinês: Earth Alux

Ícaro César (0x0d4y) | VELETRIX Loader Dissection: Kill Chain Analysis of China-Nexus Telecommunications Infrastructure Targeting

Na análise conduzida por Ícaro César (0x0d4y), disponível aqui, foi identificado que uma das amostras relacionadas à campanha DragonClone se comunica com o IP 62.234.24.38. Esse IP serviu como ponto de partida para mapear a infraestrutura utilizada pelo grupo, permitindo expandir a investigação e conectar outros elementos associados ao Earth Alux. O IP em questão já havia sido previamente categorizado como Cobalt Strike Malware e VShell pelo Validin, como pode ser visto abaixo.

Host Banner Pivot

Analisando o host banner da porta 8082, associada ao C2 do Cobalt Strike, podemos identificar pontos de pivot interessantes que vão ajudar a entender melhor a infraestrutura que estamos tentando mapear.

Abaixo, podemos ver o host banner:

Esses banners ajudam a identificar características e padrões que indicam a infraestrutura adversária. Abaixo está o response banner observado na conexão da porta 8082:

  • HTTP/1.1 401 Unauthorized

  • Content-Length: 17

  • Content-Type: text/plain; charset=utf-8

  • BANNER_0_HASH: 47ba3455b9652ce8d9357a3955daf9cb

Ao pivotar por esse hash, encontrei 569 novas ocorrências, o que contribuiu para expandir a pesquisa da infraestrutura do Earth Alux.

Abaixo estão os tópicos que vão ajudar a entender melhor a infraestrutura desse China-Nexus Threat Actor. Esses pontos que iremos abordar são fundamentais para mapear e analisar a estrutura usada pelo grupo Earth Alux.

Distribuição de ASNs na Infraestrutura do Earth Alux

Foi realizado um agrupamento dos ASNs para verificar se o grupo favorece provedores específicos em sua operação. Analisei a infraestrutura utilizada pelo grupo desde o início de junho de 2025 e identifiquei 76 ASNs distintos, conforme mostrado abaixo:

Apesar da variedade, apenas dois se destacam como elementos centrais da operação, aparecendo com recorrência. São eles:

  • AS45090 – Shenzhen Tencent Computer Systems Company Limited

  • AS37963 – Hangzhou Alibaba Advertising Co., Ltd.

Ambos estão localizados na China, conforme apontado pelo IPinfo

Abaixo estão os 10 ASNs mais observados durante a análise. Apesar da presença desses provedores, a maioria aparece de forma pontual e sem o mesmo peso estratégico. Ter essa noção nos ajuda a evitar falsos positivos, aqui, o foco está nos elementos realmente relevantes, ou seja, nos provedores que o grupo mais utiliza. Dessa forma, conseguimos mapear sua infraestrutura com mais precisão, evitando falsos positivos.

Top 10 ASNs identificados:

  • AS45090 – Shenzhen Tencent Computer Systems Company Limited

  • AS37963 – Hangzhou Alibaba Advertising Co., Ltd.

  • AS55990 – Huawei Cloud Service Data Center

  • AS9294 – GNET INC.

  • AS139659 – LUCIDACLOUD LIMITED

  • AS152194 – CTG Server Limited

  • AS36352 – HostPapa

  • AS16509 – Amazon.com, Inc.

  • AS138982 – Hubei Jiangxia IDC

  • AS141679 – China Telecom Beijing Tianjin Hebei Big Data Industry Park Branch

Comando e Controle (C&C)

Ao longo da pesquisa, analisei a infraestrutura do grupo desde janeiro de 2025 e identifiquei o uso dos seguintes servidores de comando e controle (C2):

  • Cobalt Strike

  • Supershell

  • Havoc C2

  • Sliver

  • Brute Ratel C4

Abaixo, é possível observar uma preferência pelo Cobalt Strike como principal servidor de C2. Com base nas atividades observadas desde o início de 2025, chegamos ao seguinte resultado:

É possível chegar a uma conclusão semelhante ao analisar os 6 IPs que o Validin classificou como maliciosos. Como mostro abaixo, desses 6 IPs, 4 foram identificados como Cobalt Strike, 1 como HAVOC C2 e 1 como Sliver C2:

Procurando Pegadas do Earth Alux

Depois de mapear os principais elementos da infraestrutura utilizada pelo grupo, como ASNs, provedores, países e servidores de C2, o próximo passo foi partir para o hunting. A ideia aqui é buscar novos pontos da infraestrutura do Earth Alux em fontes externas.

Para isso, utilizei o Shodan, uma ferramenta que permite buscar dispositivos expostos na internet, identificar serviços abertos e analisar banners. Isso ajuda a encontrar padrões e possíveis ativos ligados ao grupo.

Inicialmente, busquei apenas pelo banner HTTP que identificamos anteriormente:

  • HTTP/1.1 401 Unauthorized

  • Content-Length: 17

  • Content-Type: text/plain; charset=utf-8

Abaixo deixo a regra de busca inicial que utilizei no Shodan:

HTTP/1.1 401 Unauthorized Content-Length: 17 Content-Type: text/plain; charset=utf-8

Foram encontrados 33.040 resultados. Mesmo que eu filtrasse apenas pela China, país mais utilizado pelo grupo, como vimos anteriormente, ainda restariam 9.408 resultados, como mostrado na seção TOP Countries.

Vamos refinar nossa regra com base em outros resultados que encontramos durante a análise. A ideia é reduzir falsos positivos e focar nos hosts que realmente têm potencial de fazer parte da infraestrutura do Earth Alux.

Refinando a busca com ASN e porta

Hunting – AS45090

Adicionei o ASN 45090, e tivemos 760 resultados. Ainda assim, naão temos uma regra boa, então refinei ainda mais a regra incluindo também a porta observada anteriormente, para diminuir os resultados:

Regra de busca - ASN:

HTTP/1.1 401 Unauthorized Content-Length: 17 Content-Type: text/plain; charset=utf-8 asn:AS45090

Regra de busca - ASN + Porta:

HTTP/1.1 401 Unauthorized Content-Length: 17 Content-Type: text/plain; charset=utf-8 asn:AS45090 port:8082

Através da facet analysis, filtramos pelo "header hash" mais utilizado, e chegamos em 32 resultados.

Repetimos o mesmo processo para o AS37963, onde encontramos 37 resultados.

Abaixo estão as regras usadas para o hunting:

Regra para bsucar AS45090:

http.headers_hash:-1669909360 asn:AS45090 port:8082

Regra para bsucar AS37963:

http.headers_hash:-1669909360 asn:AS37963 port:8082

Abaixo deixo 6 exemplos de IPs que não são classificados como maliciosos pelos vendors no VirusTotal. Esses são apenas alguns dos 69 IPs que encontramos durante o hunting.

A lista completa dos IPs identificados durante o hunting está disponível no repositório abaixo:

🔗 Lista de IPs – Earth Alux (GitHub)

Conclusão

Nesta pesquisa, partimos de um IP identificado na análise do 0x0d4y e, a partir dele, conseguimos:

  • Mapear parte da infraestrutura utilizada pelo APT Earth Alux

  • Identificar os principais ASNs associados às atividades do grupo

  • Entender os servidores de comando e controle (C&C) usados pelo grupo

  • Desenvolver uma regra de hunting para encontrar a infraestrutura do grupo

  • Reduzir o resultado de 33.040 para apenas 69 IPs relevantes

Diamond Model

🔗 Lista de IPs – Earth Alux (GitHub)

Referências & Links

AnteriorSocial Media Posts

Atualizado