GALLIUM

APT / StateG0093
OriginChina
Techniques (MITRE ATT&CK)31
SourceMITRE ATT&CK
Also known as:Granite Typhoon

Vexday analysis

Grupo de ciberespionagem de origem chinesa, ativo desde pelo menos 2012, o GALLIUM (também rastreado como Granite Typhoon, identificador MITRE ATT&CK G0093) tem como alvos principais empresas de telecomunicações, instituições financeiras e entidades governamentais em países como Afeganistão, Austrália, Bélgica, Camboja, Malásia, Moçambique, Filipinas, Rússia e Vietnã. O grupo é especialmente associado à Operação Soft Cell, uma campanha de longa duração direcionada a provedores de telecomunicações. Pesquisadores de segurança o classificam como um provável grupo patrocinado pelo Estado chinês, com base nas ferramentas e nas TTPs empregadas, características comuns a agentes de ameaça desse país. Seu perfil técnico compreende 31 técnicas documentadas no MITRE ATT&CK e 2 CVEs atribuídas ao grupo.

Techniques (MITRE ATT&CK) 31

How the group operates, mapped to the MITRE ATT&CK matrix and organized by the phases of an attack.

Resource development
ServerTool
Initial access
Exploit Public-Facing Application
Execution
Windows Management InstrumentationScheduled TaskPowerShellWindows Command Shell
Persistence
External Remote ServicesDomain AccountWeb Shell
Credential access
LSASS MemorySecurity Account Manager
Discovery
System Network Configuration DiscoveryRemote System DiscoverySystem Owner/User DiscoverySystem Network Connections Discovery
Lateral movement
Pass the HashLateral Tool Transfer
Collection
Data from Local SystemLocal Data StagingArchive via Utility
Command and control
External ProxyIngress Tool Transfer
Exfiltration
Exfiltration Over C2 Channel
defense-impairment
Code Signing
stealth
Obfuscated Files or InformationSoftware PackingIndicator Removal from ToolsRename Legitimate UtilitiesValid AccountsDLL

Exploited vulnerabilities 2

CVEs this group is known to exploit, per MITRE ATT&CK. Ordered by real-world severity.

CVE-2014-7169CRITICALEPSS 100%KEVCVE-2016-6662EPSS 68%

GALLIUM uses real techniques and exploits real flaws. TrueHacking's AI Autonomous Pentest simulates these attacks against your infrastructure and brings more security to your application.

Explore the AI Autonomous Pentest →