# 8220 Gang > [!medium] Grupo criminoso chinês especializado em cryptojacking em escala global > O 8220 Gang é um grupo cibercriminoso de origem chinesa ativo desde 2017, especializado em comprometer servidores expostos à internet para mineração de criptomoedas Monero (XMR). O grupo evoluiu de scripts simples para um arsenal sofisticado com técnicas fileless, injeção de processos e evasão avançada de defesas em ambientes cloud. > [!latam] Relevância para o Brasil e América Latina > O 8220 Gang varre a internet globalmente sem distinção geográfica, comprometendo qualquer servidor vulnerável. No Brasil, servidores Oracle WebLogic, instâncias Apache com Log4j sem patch e ambientes cloud com configurações incorretas são alvos diretos. A rápida adoção de cloud no mercado brasileiro — especialmente em fintechs e provedores de infraestrutura digital — amplifica significativamente a superfície de ataque disponível para o grupo. ## Visão Geral O **8220 Gang**, também rastreado como **Water Sigbin** (Trend Micro) e **Returned Libra** (Palo Alto Networks), é um grupo cibercriminoso de origem **chinesa** ativo desde 2017. O nome deriva da porta TCP **8220**, utilizada pelo malware de C2 do grupo em suas operações iniciais. Sua motivação é exclusivamente **financeira**: sequestrar recursos computacionais de servidores comprometidos para minerar a criptomoeda **Monero (XMR)**. Ao contrário de grupos focados em ransomware ou espionagem, o 8220 Gang prioriza **escala e furtividade**: quanto mais sistemas comprometidos, maior o rendimento de mineração, sem necessidade de interação com a vítima. Em 2018, a Cisco Talos estimou os ganhos do grupo em aproximadamente US$ 200.000 em Monero. Em julho de 2022, o grupo expandiu sua botnet para **30.000 hosts infectados** — refletindo crescimento operacional considerável. O arsenal técnico do grupo evoluiu significativamente. Campanhas iniciais (pré-2021) utilizavam scripts simples e facilmente detectáveis. A partir de 2021, o grupo introduziu **PwnRig** — uma modificação compilada do XMRig — marcando a transição para desenvolvimento de malware customizado. As campanhas de 2023-2024 demonstraram técnicas avançadas de evasão em Windows, execução fileless via injeção em processos legítimos e remoção de ferramentas de segurança cloud. Para o Brasil e a América Latina, o 8220 Gang representa uma ameaça concreta para infraestrutura cloud exposta à internet. Servidores Oracle WebLogic, instâncias Apache com Log4j vulnerável e contêineres Docker com configurações incorretas são alvos preferênciais — perfil comum em ambientes de TI de médias e grandes empresas brasileiras que não mantêm ciclos rigorosos de patch. ## TTPs Principais | Tática | Técnica | ID MITRE | Descrição | |--------|---------|----------|-----------| | Acesso Inicial | Exploit Public-Facing App | T1190 | Exploração de CVEs em WebLogic, Confluence, Log4j | | Descoberta | Network Service Discovery | T1046 | Masscan e spirit para varredura de IPs vulneráveis | | Execução | PowerShell | T1059.001 | Scripts PowerShell para entrega inicial de payload | | Evasão | Impair Defenses | T1562 | Desativação de serviços de segurança cloud | | Evasão | Indicator Removal | T1070 | Deleção de logs com atividade suspeita | | Injeção | Process Injection | T1055 | Execução fileless em cvtres.exe, AddinProcess.exe | | Persistência | Scheduled Task | T1053.005 | Cron jobs e tarefas agendadas para persistência | | Lateral | Brute Force | T1110 | Ataques brute-force a SSH; coleta de chaves SSH | ## Attack Flow ```mermaid graph TB A["🔍 Varredura de Internet<br/>Masscan + spirit<br/>Identificação de servidores vulneráveis"] --> B["💥 Exploração<br/>CVE-2023-21839 WebLogic<br/>CVE-2021-44228 Log4j"] B --> C["📦 Entrega de Payload<br/>PureCrypter loader<br/>K4Spreader downloader"] C --> D["🛡️ Evasão<br/>Remoção de ferramentas cloud<br/>Deleção de logs"] D --> E["💉 Execução Fileless<br/>Injeção em cvtres.exe<br/>XMRig / PwnRig em memória"] E --> F["⛏️ Mineração Monero<br/>XMRig obfuscado<br/>Pool oculto"] classDef scan fill:#3498db,color:#ecf0f1 classDef exploit fill:#e74c3c,color:#ecf0f1 classDef payload fill:#e67e22,color:#ecf0f1 classDef evasion fill:#2c3e50,color:#ecf0f1 classDef inject fill:#9b59b6,color:#ecf0f1 classDef mine fill:#2ecc71,color:#2c3e50 class A scan class B exploit class C payload class D evasion class E inject class F mine ``` ## Campanhas Notáveis ### Campanha WebLogic 2024 (Water Sigbin) Em 2024, o grupo (rastreado como Water Sigbin pela Trend Micro) conduziu campanha ativa explorando vulnerabilidades em **Oracle WebLogic**, específicamente CVE-2017-3506 e CVE-2023-21839. O ataque utilizava scripts PowerShell para deploy do loader **PureCrypter** (versão V6.0.7D), que registrava vítimas no servidor C2 e baixava a carga final de mineração em memória, sem escrita em disco. ### Expansão da Botnet Cloud (Julho 2022) O grupo expandiu massivamente sua botnet cloud para 30.000 hosts infectados, demonstrando capacidade de operação em escala industrial. A expansão incluiu novos alvos em serviços de nuvem pública e ambientes de desenvolvimento com Docker mal configurado. ### Campanha Log4j + Confluence (2022-2023) Aproveitando o impacto massivo do Log4Shell (CVE-2021-44228) e da vulnerabilidade Confluence (CVE-2022-26134), o grupo conduziu campanhas em Windows e Linux simultaneamente. As campanhas demonstraram adaptação rápida a novas superfícies de ataque e capacidade de operar em múltiplos sistemas operacionais. ## Malware Utilizado | Malware | Tipo | Notas | |---------|------|-------| | [[xmrig\|XMRig]] | Minerador | Minerador de código aberto; versão ofuscada para ocultar pool | | [[pwnrig\|PwnRig]] | Minerador customizado | Fork compilado do XMRig; primeira modificação de código compilado pelo grupo | | [[purecrypter\|PureCrypter]] | Loader multi-estágio | V6.0.7D documentado; registra vítimas no C2 | | [[k4spreader\|K4Spreader]] | Downloader | Instala Tsunami DDoS + PwnRig; espalha por SSH | | [[hadooken\|Hadooken]] | Malware modular | Arsenal recente para WebLogic | | [[tsunami-botnet\|Tsunami]] | Botnet IRC | Utilizado para ataques DDoS | ## CVEs Explorados | CVE | Produto | CVSS | Notas | |-----|---------|------|-------| | [[cve-2023-21839\|CVE-2023-21839]] | Oracle WebLogic | 7.5 | Explorado ativamente em 2024 | | [[cve-2017-3506\|CVE-2017-3506]] | Oracle WebLogic | 7.4 | Vulnerabilidade histórica ainda explorada | | [[cve-2021-44228\|CVE-2021-44228]] | Apache Log4j | 10.0 | Log4Shell; amplamente explorado | | [[cve-2022-26134\|CVE-2022-26134]] | Atlassian Confluence | 9.8 | OGNL injection RCE | ## Detecção e Defesa **Indicadores comportamentais a monitorar:** - Processos como cvtres.exe ou AddinProcess.exe com consumo anormalmente alto de CPU - Conexões de saída para pools de mineração Monero (portas 3333, 5555, 7777, 14444) - Criação de cron jobs ou tarefas agendadas por processos web (apache, nginx, WebLogic) - Download de binários de URLs externas por processos de servidor web - Desativação de agentes de segurança cloud (AWS SSM Agent, Azure Monitor, etc.) - Varreduras de rede internas após comprometimento inicial (movimento lateral via SSH) **Mitigações recomendadas:** - Aplicar imediatamente patches para CVEs explorados pelo grupo, especialmente Oracle WebLogic ([[m1051-update-software|M1051]]) - Implementar Web Application Firewall (WAF) em frente a servidores WebLogic e Confluence - Monitorar consumo de CPU em servidores e criar alertas para picos anômalos - Restringir conexões de saída de servidores web apenas a destinos conhecidos ([[m1030-network-segmentation|M1030]]) - Usar CSPM (Cloud Security Posture Management) para identificar configurações incorretas em Docker/K8s - Implementar rotação regular de chaves SSH e auditar authorized_keys em todos os servidores ## Relevância LATAM O 8220 Gang representa uma **ameaça direta e concreta** para organizações brasileiras e latino-americanas. O grupo não realiza campanhas direcionadas geograficamente — ele varre a internet em busca de qualquer servidor vulnerável, independentemente do país. Isso significa que organizações no Brasil com os seguintes perfis são alvos potenciais: - **Servidores Oracle WebLogic** expostos à internet ou com versões desatualizadas - **Instâncias Apache Log4j** sem patch do Log4Shell aplicado - **Ambientes cloud públicos** (AWS, Azure, GCP) com configurações incorretas de contêineres - **Servidores de aplicação** (JBoss, Hadoop YARN) com vulnerabilidades conhecidas não corrigidas - **Startups de tecnologia** com práticas de segurança imaturas e ciclos de patch lentos A rápida adoção de cloud no Brasil e o crescimento de ambientes de desenvolvimento sem segurança robusta amplificam o risco. Empresas do setor financeiro, fintechs e provedores de infraestrutura digital devem priorizar a remediação das vulnerabilidades exploradas pelo grupo. ## Referências - [Trend Micro: Water Sigbin XMRig (2024)](https://www.trendmicro.com/en_us/research/24/f/water-sigbin-xmrig.html) - [Sekoia: Hadooken e K4Spreader](https://blog.sekoia.io/hadooken-and-k4spreader-the-8220-gangs-latest-arsenal/) - [Uptycs: 8220 Gang Cloud Infrastructure](https://www.uptycs.com/blog/threat-research-report-team/8220-gang-cryptomining-cloud-based-infrastructure-cyber-threat) - [Sysdig: 8220 Gang Continues to Evolve](https://www.sysdig.com/blog/8220-gang-continues-to-evolve) - [The Hacker News: 8220 Gang Oracle WebLogic](https://thehackernews.com/2024/06/8220-gang-exploits-oracle-weblogic.html)