# APT41 Silver Dragon 2024 > [!high] Subgrupo do APT41 Usando Google Drive como C2 - Silver Dragon Ativo desde Meados de 2024 > O Silver Dragon e um subgrupo do [[g0096-apt41]] identificado pela Check Point Research em março de 2026, ativo desde meados de 2024 contra governos e organizações críticas no Sudeste Asiático e Europa. O grupo utiliza o backdoor GearDoor com comunicação C2 via Google Drive - uma técnica de evasão sofisticada que usa infraestrutura legítima para mascarar tráfego malicioso. A campanha representa a fragmentação operacional do APT41 em subgrupos especializados com toolchains distintas. ## Visão Geral Em março de 2026, a Check Point Research públicou análise detalhada de uma campanha de espionagem cibernética ativa desde meados de 2024, atribuída a um subgrupo do [[g0096-apt41]] denominado Silver Dragon. A atribuição foi baseada em sobreposições de código, infraestrutura e TTPs com operações anteriores do APT41, embora o subgrupo opere com um conjunto de ferramentas distinto e especializado. O aspecto mais sofisticado do Silver Dragon é o uso do Google Drive como canal de Comando e Controle para o backdoor GearDoor. Esta técnica - categorizada como T1102 (Web Service) - é especialmente eficaz para evasão: o tráfego C2 é indistinguível de comúnicações legítimas com serviços Google em inspeções superficiais de rede, e domínios Google raramente são bloqueados em ambientes corporativos e governamentais. O GearDoor autentica-se via OAuth, faz polling de arquivos no Google Drive para receber instruções dos operadores e retorna resultados como uploads de novos arquivos. Os alvos confirmados da campanha incluem entidades governamentais nas Filipinas e Taiwan (padrão consistente com o interesse estratégico chinês no Mar do Sul da China e questões Taiwan) e organizações tecnológicas e de telecomúnicações na Hungria e Itália - sugerindo expansão de targeting para infraestrutura crítica europeia. A Check Point identificou pelo menos duas organizações governamentais altamente sensíveis comprometidas. A cadeia de infecção utiliza BamboLoader como loader de primeiro estágio - um downloader customizado que instala GearDoor como backdoor persistente, com Cobalt Strike como payload de segundo estágio para operações mais avançadas. O padrão de staging em múltiplos estágios é característico de campanhas APT de longo prazo. ## Attack Flow da Campanha ```mermaid graph TB A["Acesso Inicial<br/>Spear phishing com link malicioso<br/>Entrega de documento ou arquivo<br/>Exploit ou macros para execução"] --> B["BamboLoader<br/>Loader customizado primeiro estágio<br/>Download e decriptação do payload<br/>Estabelece persistência inicial"] B --> C["GearDoor Backdoor<br/>Backdoor C++ com Google Drive C2<br/>Polling de instruções via OAuth<br/>Exfiltração via upload Drive"] C --> D["Reconhecimento<br/>Mapeamento de rede e usuários<br/>Coleta de credenciais<br/>Identificação de sistemas de interesse"] D --> E["Cobalt Strike<br/>Payload segundo estágio<br/>C2 via HTTPS com perfil personalizado<br/>Movimento lateral avançado"] E --> F["Espionagem Persistente<br/>Exfiltração de dados governamentais<br/>Acesso de longo prazo ao ambiente<br/>Cobertura via infraestrutura legítima"] ``` **Técnicas:** [[t1102-web-service|T1102]] · [[t1574-dll-hijacking|T1574]] · [[t1071-001-web-protocols|T1071.001]] · [[t1036-masquerading|T1036]] ## Técnica de C2 via Google Drive ```mermaid graph TB subgraph "Fluxo C2 via Google Drive" OP["Operador APT41<br/>Faz upload de arquivo<br/>com instrucoes no Drive"] GD["Google Drive<br/>Infraestrutura legítima<br/>OAuth 2.0 autenticado"] GR["GearDoor no alvo<br/>Polling periodico<br/>Baixa e executa instrucoes"] EX["Exfiltração<br/>GearDoor faz upload<br/>dos dados coletados"] end OP --> GD GD --> GR GR --> EX EX --> GD GD --> OP ``` Esta arquitetura de C2 explora: - **Tráfego HTTPS legítimo**: comúnicações com `drive.google.com` são padrão em ambientes corporativos - **OAuth 2.0**: autenticação via tokens OAuth torna o acesso indistinguível de uso legítimo de conta Google - **Domínios não bloqueáveis**: Google Drive raramente consta em listas de bloqueio corporativas - **Baixa latência na detecção**: IDS/SIEM que não inspecionam conteúdo de HTTPS não detectam o canal C2 ## Alvos Confirmados | Região | Setor | Motivação Estratégica | |--------|-------|----------------------| | Filipinas | Governo | Disputas Mar do Sul da China | | Taiwan | Governo/Tecnologia | Soberania e inteligência política | | Hungria | Governo | Acesso a fluxos de informação da UE/NATO | | Itália | Telecomúnicações | Acesso a infraestrutura de comúnicações | ## Arsenal Técnico | Ferramenta | Tipo | Função | |-----------|------|--------| | BamboLoader | Loader | Primeiro estágio - download e decriptação do payload | | GearDoor | Backdoor | C2 persistente via Google Drive (OAuth) | | [[s0154-cobalt-strike\|Cobalt Strike]] | Framework C2 | Segundo estágio para operações avançadas | | MonikerLoader | Loader | Variante alternativa de BamboLoader | ## Relevância para o Brasil e LATAM > [!low] APT41 Fragmentado - Risco Indireto para Brasil > A campanha Silver Dragon do [[g0096-apt41]] não tem alvos diretos documentados no Brasil ou América Latina. Contudo, a técnica de C2 via Google Drive (GearDoor) é diretamente replicável contra organizações brasileiras - o ambiente de segurança de empresas e governos brasileiros raramente bloqueia ou monitora profundamente tráfego para serviços Google. O padrão de fragmentação operacional do APT41 em subgrupos especializados sugere que outros subgrupos do mesmo grupo podem já estar ativos em targets de interesse estratégico chinês na região, incluindo Brasil (maior parceiro comercial da China nas Américas). ## Detecção e Defesa - Implementar inspeção SSL/TLS profunda para detectar padrões de polling anômalos para Google Drive (requisições frequentes e regulares de processos não-browser) - Monitorar autenticações OAuth de contas desconhecidas ou incomuns em logs do Google Workspace - Detectar BamboLoader via comportamento: processo anômalo fazendo download de executáveis de URLs externas e executando-os na memória - Usar detecção comportamental para DLL sideloading (processo pai legítimo carregando DLL de caminho incomum) - Correlacionar acesso a Google Drive com identidade do processo - navegadores são esperados, processos de sistema não ## Referências - [Check Point Research — Silver Dragon: New China-Nexus Threat Actor Targeting Governments (Mar 2026)](https://research.checkpoint.com/2026/silver-dragon-china-nexus-threat-actor/) - [The Hacker News — APT41 Subgroup Silver Dragon Targets Governments with Google Drive C2 (2026)](https://thehackernews.com/) - [[g0096-apt41]] - Grupo chinês do qual Silver Dragon é subgrupo - [[s0154-cobalt-strike]] - Payload de segundo estágio nas operações Silver Dragon - [[t1102-web-service|T1102]] - Técnica central de C2 via Google Drive - [[t1574-dll-hijacking|T1574]] - DLL sideloading para carga de payloads