Ameaça Persistente Avançada (APT).

A APT designa tanto o ator quanto a campanha: adversários qualificados que permanecem semanas a anos dentro do ambiente alvo, priorizando furtividade e persistência em vez de ataques rápidos e ruidosos. As APTs costumam encadear spear-phishing, comprometimento de cadeia de suprimentos, malware sob medida, técnicas de living-off-the-land e exploits zero-day. Os objetivos costumam ser espionagem (propriedade intelectual, comunicações diplomáticas, pesquisa de defesa), preposicionamento para sabotar infraestruturas críticas, ou roubo financeiro de longo prazo.

Campanhas com nome ilustram esse espectro. O APT29 (Cozy Bear) trojanizou as atualizações do SolarWinds Orion com o backdoor SUNBURST em 2020, alcançando milhares de organizações através de um único fornecedor de confiança. O Volt Typhoon, grupo ligado à RPC, usou técnicas de living-off-the-land — ferramentas integradas como wmic, netsh e PowerShell em vez de malware sob medida — para manter acesso persistente em redes de comunicações, energia, água e transporte dos EUA; a CISA, o FBI e a NSA alertaram no aviso conjunto AA24-038A (fevereiro de 2024) que a intenção era o preposicionamento para ataques disruptivos numa crise futura, e não espionagem.

A defesa exige controles em camadas: detecção orientada por threat intelligence, EDR/XDR com análise comportamental, segmentação de rede, controles de identidade rigorosos, registo reforçado de atividade de autenticação e de linha de comando, e threat hunting proativo sobre os TTPs catalogados no MITRE ATT&CK.

flowchart LR
  A[Reconhecimento] --> B[Acesso inicial<br/>spear-phish / cadeia de suprimentos / 0-day]
  B --> C[Estabelecimento &<br/>persistência]
  C --> D[Escalada de privilégios<br/>+ roubo de credenciais]
  D --> E[Movimento lateral<br/>living off the land]
  E --> F[Coleta furtiva<br/>de longo prazo]
  F --> G[Exfiltração ou<br/>preposicionamento]
  F -.evasão.-> H[EDR / threat hunting<br/>MITRE ATT&CK]
  H -.detectar e expulsar.-> C