# Winnti Group ## Visão Geral O **Winnti Group** (rastreado pelo MITRE como G0044, e amplamente sobrepos com **APT41** / **Brass Typhoon**) e um dos grupos de ameaça chineses mais prolixos e versateis, ativo desde pelo menos **2010**. O grupo e único entre atores estatais chineses por combinar **espionagem patrocinada pelo Estado** com **operações financeiramente motivadas** - incluindo roubo de código-fonte e certificados de jogos digitais, manipulação de moedas virtuais e tentativas de ransomware. APT41 conduz campanhas em dois trilhos paralelos: espionagem estratégica (saúde, telecom, tecnologia, defesa) e roubo de propriedade intelectual (industria de games e farmaceutica). A campanha **APT41 DUST** (2023-2024), documentada pela Mandiant/Google, comprometeu organizacoes de logistica maritima, midia e tecnologia na Europa, Asia e Oriente Medio com o dropper **DUSTTRAP** - cujo payload se comúnicava com **contas Google Workspace comprometidas** para C2, misturando trafico malicioso ao legítimo. Em 2024, o grupo passou a usar o **Google Calendar** como canal de C2 via o malware **TOUGHPROGRESS** - uma escalada na sofisticacao de evasão. O Brasil figura como alvo potencial documentado: Hunt & Hackett registraram reconhecimento do grupo contra empresas latino-americanas no setor de logistica. ```mermaid graph TB A["Webshell ANTSWORD<br/>Acesso a servidor Tomcat<br/>persistência inicial"] --> B["DUSTPAN Dropper<br/>certutil.exe download<br/>carrega BEACON"] B --> C["DUSTTRAP Dropper<br/>payload em memoria<br/>zero rastros forensicos"] C --> D["C2 via Google Workspace<br/>conta comprometida<br/>trafico misturado ao legitimo"] D --> E["Exfiltração Databases<br/>SQLULDR2 Oracle<br/>PINEGROVE para OneDrive"] E --> F["Alvos confirmados<br/>Logistica Europa/ME<br/>Midia Asia / Tecnologia"] style A fill:#2980b9,color:#fff style B fill:#8e44ad,color:#fff style C fill:#e67e22,color:#fff style D fill:#c0392b,color:#fff style E fill:#2c3e50,color:#fff style F fill:#196f3d,color:#fff ``` ## Atribuicao APT41 / Winnti e atribuido ao governo chines com **alta confiança** com base em: - Dois membros do grupo (Tan Dailin e Zhang Haoran) foram indiciados pelo DOJ dos EUA em 2020 por ataques a empresas americanas - Perfil duplo único: espionagem estatal + crime financeiro paralelo (caracteristica do Ministerio de Segurança do Estado chines contratando operadores independentes) - Infraestrutura e malware exclusivo reutilizados em múltiplas campanhas ao longo de 15 anos - Sobreposicao documentada com grupos Axiom, Ke3chang e APT17 ## Arsenal - Evolução 2010-2025 | Período | Ferramenta | Novidade | |---------|-----------|----------| | 2010-2016 | Winnti for Windows, PlugX, PipeMon | RATs para games e suply chain | | 2017-2022 | DUSTPAN, BEACON | Droppers furtivos com windows services | | 2023-2024 | DUSTTRAP, SQLULDR2, PINEGROVE | C2 via Google Workspace comprometido | | 2024 | VOLDEMORT | Proofpoint attribution - multiple sectors | | Out 2024 | TOUGHPROGRESS | C2 via Google Calendar | ### Campanha APT41 DUST (2023-2024) - destaque tecnico Documentada pela Mandiant em julho de 2024. Comprometeu organizacoes de **logistica maritima, midia e automotivo** em Italia, Espanha, Taiwan, Tailandia, Turquia e Reino Unido: - Acesso inicial via webshells **ANTSWORD** e **BLUEBEAM** em servidores Tomcat - **DUSTPAN**: dropper que usa certutil.exe para download, persiste como servico Windows ("Windows Defend") - **DUSTTRAP**: dropper que decripta payload em memoria, comúnica com contas Google Workspace comprometidas - sem artefatos em disco - **SQLULDR2**: exporta dados de bancos Oracle para CSV locais - **PINEGROVE**: exfiltra grandes volumes para OneDrive - Certificados de assinatura de código **roubados** usados para assinar DUSTTRAP ### TOUGHPROGRESS (Outubro 2024) - C2 via Google Calendar Google GTIG descobriu em outubro de 2024 que APT41 usava **Google Calendar como canal C2**. A cadeia de ataque: 1. Spearphishing com link para ZIP hospedado em site governamental comprometido 2. ZIP com LNK mascarado de PDF + "fotos de artropodes" (1.jpg a 7.jpg - sendo 6 e 7 payloads reais) 3. **PLUSDROP**: DLL que decripta e executa em memoria 4. **PLUSINJECT**: executa process hollowing em svchost.exe legítimo 5. **TOUGHPROGRESS**: LE eventos de Google Calendar com comandos criptografados, escreve resultados em novos eventos ## Campanhas Notaveis ```mermaid graph TB K1["2012-2016<br/>Gaming industry<br/>Roubo source code + certs"] --> K2["2017-2019<br/>Supply chain compromise<br/>Injecao em updates legitimos"] K2 --> K3["2020-2022<br/>6 gov EUA comprometidos<br/>Log4Shell + USAHerds 0-day"] --> K4["2023-2024<br/>APT41 DUST<br/>Europa/Asia logistica+midia"] K4 --> K5["Out 2024<br/>TOUGHPROGRESS<br/>C2 via Google Calendar"] --> K6["2025<br/>RevivalStone subclusters<br/>Jáponeses manufatura/energia"] style K1 fill:#7f8c8d,color:#fff style K2 fill:#e67e22,color:#fff style K3 fill:#c0392b,color:#fff style K4 fill:#8e44ad,color:#fff style K5 fill:#2980b9,color:#fff style K6 fill:#e74c3c,color:#fff ``` ## Relevância para o Brasil e LATAM **Risco documentado:** O Brasil e a LATAM figuram no escopo potencial de operações APT41 por tres razoes concretas: - Hunt & Hackett documentaram **reconhecimento do grupo contra empresas latino-americanas** no setor de logistica maritima - o mesmo setor comprometido na campanha APT41 DUST 2023-2024. Empresas como [[shipping|Maersk]], [[shipping|Mediterranean Shipping Company]] e seus parceiros regionais sao alvos em potencial - A industria **farmaceutica brasileira** (Eurofarma, Hypera, EMS) e alvo historico de APT41 para roubo de propriedade intelectual - o grupo compromete fabricantes farmaceuticos para espionagem economica desde 2020 - O setor de **jogos digitais e tecnologia** brasileiro em crescimento (Nuuvem, Wildlife Studios) replica exatamente o perfil historico de alvos do Winnti - roubo de código-fonte e certificados de assinatura **Setores em risco potencial:** [[technology|tecnologia]], [[shipping|logistica maritima]], [[pharmaceutical|farmaceutico]], [[gaming|jogos digitais]] **Mitigação prioritaria para o Brasil:** - Monitoramento de autenticação em plataformas Google (Workspace, Calendar) por acesso de contas internas fora do padrao - Inspecao de trafego DNS e HTTPS para subdominos Cloudflare Workers nao autorizados - Auditoria de certificados de assinatura de código em repositorios de desenvolvimento ## Referências - [Mandiant/Google - APT41 DUST Campaign (Jul 2024)](https://cloud.google.com/blog/topics/threat-intelligence/apt41-arisen-from-dust) - [Google GTIG - TOUGHPROGRESS Calendar C2 (Mai 2025)](https://cloud.google.com/blog/topics/threat-intelligence/apt41-innovative-tactics) - [The Hacker News - APT41 Google Calendar (Mai 2025)](https://thehackernews.com/2025/05/chinese-apt41-exploits-google-calendar.html) - [MITRE ATT&CK - G0044](https://attack.mitre.org/groups/G0044/) - [MITRE ATT&CK - APT41 DUST C0040](https://attack.mitre.org/campaigns/C0040/) - [DOJ Indictment - APT41 Members (2020)](https://www.justice.gov/opa/pr/seven-international-cyber-defendants-including-apt41-actors-charged-connection-computer)