# APT41 > [!danger] APT Chinês — Dupla Missão: Espionagem Estatal + Crime Financeiro > **APT41** (MITRE G0096), conhecido como **Double Dragon**, é único entre APTs chineses por combinar missões de espionagem patrocinada pelo estado com operações de crime cibernético financeiro (gaming, supply chain). 5 membros foram indiciados pelo DOJ americano em 2020. ## Visão Geral APT41 é considerado um dos grupos de ameaça mais versáteis e sofisticados ligados à China, com a característica incomum de operar tanto em missões de espionagem para o governo chinês quanto em operações de crime cibernético para ganho financeiro pessoal dos operadores. Esse modelo "dupla missão" leva pesquisadores a denominá-lo "Double Dragon". O grupo ganhou atenção global com ataques massivos de supply chain: o comprometimento do software CCleaner em 2017 (via Avast) inseriu malware em versões legítimas baixadas por 2,27 milhões de usuários. Em 2020, o DOJ americano indiciou 5 cidadãos chineses membros do APT41 — um dos raros casos de indiciamento formal de operadores APT. O APT41 também foi pioneiro em explorar vulnerabilidades em plataformas de software como Citrix, Pulse Secure e outros appliances logo após sua divulgação — muitas vezes em menos de 24 horas após a públicação de PoCs. Em 2021, o grupo foi identificado explorando ProxyLogon no Microsoft Exchange antes do patch coletivo, atingindo pelo menos 6 agências do governo americano. Para o Brasil e a América Latina, o APT41 representa risco para empresas de gaming, healthcare e tecnologia, especialmente aquelas com presença no mercado asiático ou que usam software de origem chinesa em sua cadeia de suprimentos. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nOSINT / Scanning] --> B[Acesso Inicial\nSupply Chain\nExploit N-day] B --> C[Execução\nShadowPad\nCobalt Strike] C --> D[Persistência\nRootkit / UEFI\nWMI subscription] D --> E[Movimentação\nDomain escalation\nRDP / SMB] E --> F[Bifurcação\nEspionagem gov\nRoubo gaming / financeiro] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Supply Chain | [[t1195-supply-chain-compromise\|T1195]] | CCleaner, SolarWinds-style | | Exploit Aplicação | [[t1190-exploit-public-facing-application\|T1190]] | Citrix, Pulse, Exchange ProxyLogon | | PowerShell / Scripts | [[t1059-command-and-scripting-interpreter\|T1059]] | Loaders, downloaders, persistence | | Spear Phishing | [[t1566-phishing\|T1566]] | E-mails de alto valor com documentos | ## Detecção e Defesa - Monitorar atualizações de software de terceiros — verificar hashes e assinaturas - Aplicar patches críticos em menos de 24h após divulgação (APT41 explora N-days rapidamente) - Implementar detecção de ShadowPad e Cobalt Strike (indicadores públicados pelo DOJ) - Aplicar [[m1051-update-software|M1051]] com gestão de vulnerabilidades prioritária - Monitorar [[ds0009-process|DS0009]] para processos WMI subscription suspeitos ## Referências - MITRE ATT&CK: [APT41 G0096](https://attack.mitre.org/groups/G0096/) - DOJ: APT41 5-member indictment (2020) - Mandiant: APT41 Dual Espionage and Cyber Crime (2019) - CISA Alert: APT41 Exploiting Citrix, Cisco, Zoho (2020) - Microsoft MSTIC: Brass Typhoon — Exchange ProxyLogon (2021)