# APT41 US State Governments 2021 > [!high] Campanha Persistente do APT41 contra Governos Estaduais dos EUA - Log4Shell em Horas > Entre maio de 2021 e fevereiro de 2022, o [[g0096-apt41]] comprometeu ao menos seis redes de governos estaduais americanos, usando uma combinação de zero-days (CVE-2021-44207 no USAHerds) e exploração relâmpago do Log4Shell (CVE-2021-44228) - dentro de horas do advisory público. A campanha, investigada pela Mandiant, revelou novas capacidades e ferramentas do grupo, incluindo o dropper DUSTPAN e o backdoor KEYPLUG, e exemplificou a velocidade de operacionalização de CVEs críticas por atores APT de nível avançado. ## Visão Geral Em maio de 2021, a Mandiant respondeu a uma intrusão do [[g0096-apt41]] em uma rede de governo estadual americano - o que se revelaria ser o início de uma campanha deliberada e persistente que duraria até fevereiro de 2022. Ao final das investigações, a Mandiant havia identificado comprometimento confirmado em pelo menos seis estados americanos. O que torna esta campanha excepcional é a rapidez de adaptação do [[g0096-apt41]]: quando o Log4Shell (CVE-2021-44228) foi divulgado em 10 de dezembro de 2021, o grupo iniciou sua exploração em questão de horas, comprometendo ao menos dois governos estaduais adicionais que ainda não haviam sido comprometidos pelo zero-day do USAHerds. Isso demonstra capacidade de operacionalização quase imediata de vulnerabilidades críticas recém-públicadas. A vulnerabilidade central da campanha inicial era a CVE-2021-44207 no USAHerds - uma aplicação comercial usada por 18 estados americanos para gerenciamento de saúde animal. Ao explorar este zero-day, o [[g0096-apt41]] ganhou potencialmente acesso a qualquer servidor USAHerds exposto à internet, sugerindo um pool de vítimas muito maior do que as seis confirmadas. A Mandiant não conseguiu determinar como o grupo obteve a MachineKey necessária para explorar a vulnerabilidade de deserialização. O objetivo final da campanha permaneceu desconhecido mesmo após as investigações, embora evidências de exfiltração de Informações Pessoais Identificáveis (PII) - típicas de operações de espionagem - tenham sido identificadas. A campanha é consistente com o perfil dual do [[g0096-apt41]]: espionagem estatal em paralelo com operações financeiramente motivadas. ## Attack Flow da Campanha ```mermaid graph TB A["🔍 Fase 1: Zero-Day USAHerds<br/>CVE-2021-44207<br/>Exploração .NET deserialization<br/>MachineKey para bypass de autenticação"] --> B["🌐 Acesso Inicial<br/>Execução de comandos via ViewState<br/>Web shell JScript implantado<br/>Code Page 936 (Chinês Simplificado)"] B --> C["🔧 DUSTPAN Dropper<br/>In-memory dropper C++<br/>ChaCha20 para decrypt de payload<br/>Carrega Cobalt Strike BEACON"] C --> D["📡 KEYPLUG Backdoor<br/>C++ modular - C2 multi-protocolo<br/>HTTP, TCP, KCP sobre UDP, WSS<br/>Versões Windows e Linux"] D --> E["⚡ Fase 2: Log4Shell (12/2021)<br/>CVE-2021-44228<br/>Exploração em horas do advisory<br/>2 estados adicionais comprometidos"] E --> F["🕵️ DEADEYE + LOWKEY<br/>Loader + implant avançado<br/>Persistência via scheduled tasks<br/>Exfiltração via Cloudflare C2"] ``` **Técnicas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1027-obfuscated-files-or-information|T1027]] ## Novas Ferramentas Descobertas ```mermaid graph TB subgraph "Ferramentas Novas (descobertas nesta campanha)" DP["DUSTPAN (StealthVector)<br/>In-memory dropper C++<br/>ChaCha20 para decrypt<br/>Carrega payloads embarcados ou de disco"] KP["KEYPLUG<br/>Backdoor modular C++<br/>Multi-protocolo: HTTP/TCP/KCP/WSS<br/>Versões Windows e Linux"] DE["DEADEYE<br/>Malware loader<br/>Responsável por lançar LOWKEY<br/>Persistência via scheduled tasks Windows"] LK["LOWKEY<br/>Implant avançado<br/>Carregado pelo DEADEYE<br/>Comúnicação C2 encoberta"] end DP --> KP DE --> LK KP -.->|"C2 via Cloudflare"| LK ``` ## CVEs Exploradas | CVE | CVSS | Sistema | Uso | |-----|------|---------|-----| | [[cve-2021-44207\|CVE-2021-44207]] | 8.8 | USAHerds (ASP.NET) | Zero-day inicial - 6+ estados comprometidos | | [[cve-2021-44228\|CVE-2021-44228]] | 10.0 | Apache Log4j (Log4Shell) | Explorado em horas do advisory - 2+ estados adicionais | **Nota:** A CVE-2021-44207 foi especialmente crítica por usar a mesma MachineKey estática em todas as instalações padrão do USAHerds - potencialmente expondo todos os 18 estados que usavam o software a comprometimento. ## Capacidade Cloudflare C2 Uma característica notável desta campanha foi o uso "substancialmente aumentado" dos serviços Cloudflare para comúnicações C2 e exfiltração de dados - uma técnica de evasão que dificulta a detecção baseada em bloqueio de domínios maliciosos, já que o tráfego legítimo e malicioso passa pelo mesmo serviço de CDN. ## Relevância para o Brasil e LATAM > [!medium] Log4Shell e CVEs em Aplicações Governamentais Regionais > Esta campanha não teve alvos diretos no Brasil ou América Latina, mas tem impacto métodológico direto: a velocidade com que o [[g0096-apt41]] explorou o Log4Shell em horas do advisory demonstra o risco crítico para organizações que não possuem processos ágeis de patch. Governos estaduais e municipais brasileiros que usam aplicações Java com Log4j (frequentemente embutido em sistemas de gestão, portais e serviços) foram igualmente expostos ao Log4Shell em 2021. A técnica de exploração de .NET deserialization em aplicações web governamentais é diretamente replicável contra sistemas equivalentes na região. ## Detecção e Defesa - Implementar monitoramento de integridade em aplicações web ASP.NET governamentais - Detectar web shells com Code Page 936 (Chinês Simplificado) em servidores IIS - Bloquear payloads deserialization maliciosos em aplicações que aceitam ViewState - Monitorar scheduled tasks incomuns: `MicrosoftWindowsPLAServer`, `MicrosoftWindowsRasManager`, `MicrosoftWindowsWDISrv` - Atualizar Log4j e auditar todas as dependências Java - Log4Shell ainda presente em sistemas não atualizados ## Referências - [Mandiant — APT41 Targeting U.S. State Governments (Mar 2022)](https://cloud.google.com/blog/topics/threat-intelligence/apt41-us-state-governments) - [The Hacker News — Chinese APT41 Hackers Broke into at Least 6 U.S. State Government Networks (Mar 2022)](https://thehackernews.com/2022/03/chinese-apt41-hackers-broke-into-at.html) - [SC World — Chinese APT leveraged zero days including Log4j to compromise US state governments (2022)](https://www.scworld.com/analysis/chinese-apt-leveraged-zero-days-including-log4j-to-compromise-u-s-state-governments) - [[g0096-apt41]] - Grupo chinês responsável pela campanha - [[cve-2021-44228|CVE-2021-44228]] - Log4Shell - explorado em horas do advisory - [[cve-2021-44207|CVE-2021-44207]] - Zero-day USAHerds - acesso inicial à campanha - [[s1158-dustpan]] - Novo dropper identificado nesta campanha - [[s1051-keyplug]] - Novo backdoor multi-protocolo identificado - [[t1190-exploit-public-facing-application|T1190]] - Técnica central de acesso inicial