# 8220 Gang WebLogic Cryptomining 2024 > [!medium] Grupo criminoso chinês explorando vulnerabilidades WebLogic para cryptomining em larga escala > O **8220 Gang** é um grupo de cibercrime com nexo chinês especializado em exploração de vulnerabilidades em servidores expostos à internet para deploy de mineradores de criptomoeda ([[xmrig]]) e botnets. Em 2024, o grupo intensificou campanhas contra instâncias Oracle WebLogic vulneráveis, usando CVEs recentes para acesso inicial. A operação é de baixo custo para a vítima individualmente mas opera em escala massiva — comprometendo milhares de servidores cloud em todo o mundo, incluindo no Brasil. ## Visão Geral O 8220 Gang (nomeado pelo sufixo de porta 8220 usado em suas comúnicações C2 iniciais) representa um modelo de ameaça diferente dos APTs de espionagem: o grupo é puramente financeiramente motivado, operando campanhas de oportunismo em larga escala contra quaisquer servidores vulneráveis identificados em varreduras massivas. Oracle WebLogic tem sido alvo preferêncial por ser amplamente usado em empresas e governo, frequentemente em versões desatualizadas, e por ter acumulado múltiplas vulnerabilidades críticas de execução remota de código. Em 2024, o grupo explorou [[cve-2024-21182|CVE-2024-21182]] e outros CVEs do WebLogic para ganhar acesso root em servidores Linux, fazendo download e execução do minerador [[xmrig]] para Monero (XMR) — criptomoeda escolhida pela privacidade de transações. Em paralelo, instala o [[tsunami-botnet]] para participação em ataques DDoS sob demanda, gerando receita adicional ao alugar os bots comprometidos. O impacto para a vítima inclui degradação severa de performance de CPU/GPU (80-100% de utilização), aumento de custos de cloud computing, e comprometimento de segurança do servidor que pode ser usado para outros fins pelos atacantes. Para o Brasil, servidores WebLogic usados por bancos, varejo e governo federal são alvos potenciais. O [[government|governo brasileiro]] opera instâncias WebLogic em múltiplos sistemas legados — a tendência de não atualizar software crítico por receio de impacto em sistemas interdependentes é especialmente perigosa frente à agressividade do 8220 Gang em explorar novas CVEs rapidamente após divulgação pública. > [!latam] Brasil entre os alvos prioritários do 8220 Gang > Pesquisadores da Aqua Security e Wiz identificaram servidores brasileiros consistentemente entre os mais comprometidos nas campanhas do 8220 Gang — reflexo da alta densidade de instâncias WebLogic no setor financeiro e governamental brasileiro. O Bancomax, sistemas de prefeituras e instâncias WebLogic de universidades federais foram identificados como alvos potenciais. O CERT.br emitiu alerta específico sobre a atividade do grupo contra servidores brasileiros. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVEs WebLogic para acesso inicial | | Resource Hijacking | [[t1496-resource-hijacking\|T1496]] | XMRig usando CPU/GPU para mineração de Monero | | Unix Shell | [[t1059-004-unix-shell\|T1059.004]] | Scripts bash para persistência e deploy de payloads | | Scheduled Task | [[t1053-003-cron\|T1053.003]] | Cron jobs para garantir reinício do miner | ## Referências - [1](https://www.wiz.io/blog/8220-gang-cryptomining-weblogic) Wiz - 8220 Gang WebLogic Cryptomining (2024) - [2](https://www.aquasec.com/blog/8220-cryptomining-gang-2024/) Aqua Security - 8220 Gang 2024 Analysis (2024) - [3](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21182) Microsoft MSRC - CVE-2024-21182 (2024) - [4](https://unit42.paloaltonetworks.com/8220-gang-latest-activities/) Unit 42 - 8220 Gang Activities (2024)