apt41-dust - RunkIntel

# APT41 DUST ## Descrição O APT41 DUST (MITRE C0040) foi uma campanha de espionagem cibernética conduzida pelo [[g0096-apt41|APT41]] - grupo de nexo China que combina espionagem estatal com operações de crime cibernético por motivação financeira - entre janeiro de 2023 e julho de 2024. A campanha alvejou entidades nos setores de transporte marítimo, logística e mídia na Europa, Ásia e Oriente Médio, com o objetivo de coletar informações estratégicas relevantes para interesses econômicos e geopolíticos chineses. O nome "DUST" deriva das famílias de malware utilizadas: [[s1158-dustpan|DUSTPAN]] (loader) e [[s1159-dusttrap|DUSTTRAP]] (backdoor multi-plugin). O [[g0096-apt41|APT41]] demonstrou capacidades técnicas avançadas durante a campanha: utilizou o [[s0154-cobalt-strike|Cobalt Strike]] como framework de pós-exploração, o [[s0160-certutil|certutil]] para download de ferramentas via LOLBins, e o [[s1159-dusttrap|DUSTTRAP]] para estabelecer persistência e coletar dados de bancos de dados internos. O grupo abusou de contas cloud legítimas para exfiltrar dados para o Google Cloud Storage e outros serviços, tornando o tráfego de saída difícil de distinguir do legítimo. Certificados de code-signing foram obtidos para assinar payloads maliciosos, reduzindo a taxa de detecção por soluções de segurança baseadas em reputação. O [[s1159-dusttrap|DUSTTRAP]] é um backdoor sofisticado com arquitetura de plugins que suporta múltiplos módulos de coleta de dados. Durante a campanha DUST, o grupo focou específicamente em bancos de dados internos das organizações-alvo, extraindo dados de clientes, rotas de transporte e informações comerciais sensíveis - coerente com os interesses estratégicos chineses em logística global, especialmente relacionados à Iniciativa do Cinturão e Rota. A Mandiant (Google) documentou e nomeou a campanha em relatório públicado em 2024, confirmando a atribuição ao [[g0096-apt41|APT41]] com alta confiança. ## Atores Envolvidos - [[g0096-apt41|APT41]] ## Técnicas Utilizadas - [[t1102-web-service|T1102 - Web Service]] - [[t1213-006-databases|T1213.006 - Databases]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1593-002-search-engines|T1593.002 - Search Engines]] - [[t1588-003-code-signing-certificates|T1588.003 - Code Signing Certificates]] - [[t1586-003-cloud-accounts|T1586.003 - Cloud Accounts]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1596-005-scan-databases|T1596.005 - Scan Databases]] ## Software Utilizado - [[s0160-certutil|certutil]] - [[s1159-dusttrap|DUSTTRAP]] - [[s0154-cobalt-strike|Cobalt Strike]] - [[s1158-dustpan|DUSTPAN]] ## Impacto A campanha DUST resultou no comprometimento de organizações nos setores de transporte marítimo, logística e mídia na Europa, Ásia e Oriente Médio. Os dados exfiltrados provavelmente incluíam informações de clientes, rotas e contratos de transporte - altamente relevantes para a estratégia logística global da China (Iniciativa do Cinturão e Rota). O período de atividade de pelo menos 18 meses sugere comprometimentos de longa duração com acesso persistente a sistemas de alto valor. | Período | Duração | Alvos | |---------|---------|-------| | Janeiro 2023 | Início documentado | Entidades de transporte marítimo | | Junho 2024 | Pico de atividade | Logística e mídia | | Julho 2024 | Última atividade | Múltiplos setores | ## Relevância LATAM/Brasil - Empresas brasileiras dos setores de transporte marítimo e logística com parceiros na Europa e Ásia podem ter sido alvejadas como parte da supply chain das vítimas primárias - O Porto de Santos (maior porto da América Latina) e operadores de logística integrados com rotas Ásia-Europa-Brasil são potenciais alvos de interesse para o [[g0096-apt41|APT41]] - O [[g0096-apt41|APT41]] tem histórico documentado de operações na América Latina - incluindo alvos no Brasil, México e Argentina - tornando esta campanha relevante como indicador de capacidades e interesse regional do grupo --- *Fonte: [MITRE ATT&CK - C0040](https://attack.mitre.org/campaigns/C0040)* *Fonte: [Mandiant - APT41 DUST Campaign Analysis](https://www.mandiant.com/)*