g0096-apt41 - RunkIntel

# APT41 > [!warning] **APT41** é um grupo de ameaça atribuído a **China** ativo desde **2012**. ## Perfil **APT41** (também rastreado como Wicked Panda, Brass Typhoon, BARIUM, Winnti Group e HOODOO) e um dos grupos de ameaça mais prolíficos e versateis do mundo, operando com **dupla motivacao**: espionagem estatal patrocinada pelo governo chines **e** operações de cibercrime financeiro simultaneas. Esta combinacao única distingue o APT41 de outros APTs chineses que geralmente mantem motivacoes singulares. **Visão geral:** - Origem: China (patrocinio estatal + operações criminosas paralelas) - Motivacao: espionagem estratégica (saúde, telecom, governo, defesa) + financeiro (gaming, cripto, IP theft) - Período: 2012 até o presente - mais de 12 anos de atividade continua - Escopo: 14+ paises afetados confirmados; expansao para Africa e Europa em 2024-2025 - Indiciamento: Cinco membros indiciados pelo DoJ dos EUA em 2020 **Descrição:** O APT41 opera como um ator de dupla personalidade - conduzindo espionagem de alto valor alinhada com objetivos dos Planos Quinquenais chineses (setores estratégicos como saúde, semicondutores, telecomúnicacoes) enquanto monetiza o acesso a organizacoes via roubo de propriedade intelectual, fraude em jogos e roubo de certificados digitais. Campaigns de 2024-2025 demonstram evolução técnica significativa com novos implantes de firmware e abuso de servicos legitimos de cloud para C2. ### Attack Flow Típica - APT41 ```mermaid graph TB A["Supply Chain Software Trojanizado"] --> B["Valid Accounts Credenciais Roubadas"] B --> C["DUSTPAN Fileless Loader em Memória"] C --> D["Rootkit UEFI MoonWalk Firmware"] D --> E["Credential Theft Browsers / NTLM"] E --> F["Lateral SMB Admin Shares"] F --> G["DB Exfiltration Oracle / OneDrive"] classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff classDef azul fill:#3498db,stroke:#2980b9,color:#fff class A,B vermelho class C,D,E laranja class F,G azul ``` **Legenda:** Comprometimento via supply chain ou credenciais roubadas, seguido de loader fileless (DUSTPAN), persistência via rootkit de firmware (MoonWalk), movimento lateral via SMB e exfiltração de bancos Oracle para OneDrive. ## Campanhas Recentes (2024-2026) ### Operação DUST (2023-2024) - Logistica e Entretenimento Identificada pelo Google TAG e Mandiant, esta campanha comprometeu organizacoes globais de **logistica, transporte maritimo, entretenimento/midia, tecnologia e automotivo**: **Arsenal exclusivo:** - **[[s1158-dustpan|DUSTPAN]]**: loader totalmente fileless (apenas em memoria) para execução inicial - **DUSTTRAP**: framework de execução e persistência - **SQLULDR2**: exfiltração de dados de bancos Oracle para arquivos locais - **PINEGROVE**: upload de dados exfiltrados para OneDrive (C2 via Microsoft) - Google Workspace abusado como canal C2 (remediado pelo Google) ### Silver Dragon - Governos EU e Sudeste Asiatico (2024-2026) Subgrupo do APT41 identificado em campanha contra governos europeus e do Sudeste Asiatico: - Phishing com arquivos ZIP/LNK maliciosos hospedados em sites governamentais comprometidos - Cobalt Strike beacons com DNS tunneling para C2 - AppDomain hijacking e DLL service sideloading - Web shells SharePoint (CommandHandler.aspx) - Shells reversos HTA e [[mimikatz|Mimikatz]] para credential theft ### Google Calendar C2 Abuse (Outubro 2024) Campanha onde spear-phishing entregava malware controlado via **eventos do Google Calendar** - usando a API do Calendar como canal C2 encoberto que bypassava controles de rede focados em destinos incomuns. ### Chrome V8 Zero-Day - CVE-2025-6554 (2025) Exploração de zero-day no **V8 JavaScript engine** do Chrome via watering-hole e spear-phishing com payloads JavaScript, permitindo: - Remote Code Execution (RCE) no contexto do browser - Roubo de credenciais - Escalonamento de privilegios para persistência no sistema ### Infraestrutura Critica de Taiwan (2025) Mais de **20 casos de ransomware** em hospitais e infraestrutura critica de Taiwan, com dados vendidos na dark web. Parte de campanha mais ampla de pressao sobre infraestrutura taiwanesa - componente do objetivo geopolitico chines. ### Governos Africanos (2024-2025) Expansao para alvos em governos africanos usando: - DLL sideloading em sistemas de TI governamentais - Web shells SharePoint para persistência - Exfiltração de dados de sistemas de governo ## Arsenal (2024-2026) | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s1158-dustpan\|DUSTPAN]] | Loader fileless | Execução em memoria apenas - sem artefatos em disco | | [[dodgebox\|DodgeBox]] | Loader (StealthVector variant) | Carrega [[moonwalk\|MoonWalk]] backdoor; evade detecção EDR | | [[moonwalk\|MoonWalk]] | Backdoor UEFI | Possível persistência no firmware BIOS (Gigabyte/MSI) - sobrevive reinstalacao de OS | | [[s1051-keyplug\|KEYPLUG]] | Backdoor modular | C2 flexivel com múltiplos protocolos de comunicação | | [[s0013-plugx\|PlugX]] | RAT clássico | Backdoor historico do grupo; variantes WyrmSpy/DragonEgg | | [[gh0st-rat\|gh0st RAT]] | RAT | Controle remoto persistente | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Movimento lateral e execução pos-comprometimento | | SQLULDR2 | Exfiltração Oracle | Dump de bancos de dados Oracle para arquivos | | PINEGROVE | Uploader | Upload de dados para OneDrive como canal de exfiltração | | TOUGHPROGRESS | C2 abuse | Google Calendar events como canal de C2 | ## TTPs Mapeados | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Resource Development | Compromise Software Supply Chain | [[t1195-002-supply-chain-compromise\|T1195.002]] | Trojanizacao de atualizacoes de software; vendor compromise | | Initial Access | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais roubadas ou compradas para acesso inicial | | Initial Access | Wordlist Scanning | [[t1595-003-wordlist-scanning\|T1595.003]] | Varredura de endpoints com wordlists customizadas | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell para execução e movimento lateral | | Persistence | Rootkit | [[t1014-rootkit\|T1014]] | MoonWalk - possível implante UEFI firmware | | Persistence | Windows Service | [[t1543-003-windows-service\|T1543.003]] | Servicos Windows maliciosos para persistência | | Defense Evasion | Code Signing | [[t1553-002-code-signing\|T1553.002]] | Certificados digitais roubados para assinar malware | | Defense Evasion | Software Packing | [[t1027-002-software-packing\|T1027.002]] | DUSTPAN fileless; empacotamento customizado | | Defense Evasion | Indicator Blocking | [[t1562-006-indicator-blocking\|T1562.006]] | Bloqueio de indicadores de detecção | | Credential Access | Credentials from Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais salvas em browsers | | Lateral Movement | SMB Admin Shares | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | Movimento lateral via compartilhamentos administrativos Windows | | Collection | Scan Databases | [[t1596-005-scan-databases\|T1596.005]] | Identificação e exfiltração de bancos de dados Oracle | | Exfiltration | File Transfer Protocols | [[t1071-002-file-transfer-protocols\|T1071.002]] | Exfiltração via FTP e PINEGROVE para OneDrive | ## Relevância para o Brasil e LATAM > [!warning] Risco Moderado-Alto para Setores Estratégicos > APT41 nao possui vitimas confirmadas no Brasil em 2024-2026, mas o perfil de alvos do grupo se sobrepos diretamente com setores criticos da economia brasileira: telecomúnicacoes, saúde, tecnologia financeira e gaming. A expansao para Africa em 2025 indica apetite por mercados emergentes. **Setores brasileiros em maior risco:** **1. [[telecommunications|Telecomúnicacoes]]** Operadoras brasileiras com tecnologia de fornecedores chineses (equipamentos Huawei, ZTE) ou que participam de cadeias de suprimento globais sao alvos potenciais para espionagem sobre arquitetura de rede e dados de comúnicacoes. **2. [[healthcare|Saúde]]** O APT41 historicamente roba propriedade intelectual de pesquisa medica e dados de pacientes. Hospitais brasileiros, especialmente aqueles com parcerias internacionais de pesquisa, enfrentam risco crescente - replicando o padrao visto em Taiwan em 2025. **3. [[technology|Tecnologia Financeira]]** Fintechs e empresas de pagamentos com integracoes internacionais sao alvos naturais para o componente de cibercrime financeiro do grupo. **4. [[gaming|Gaming]]** O Brasil e o maior mercado de games da América Latina. Empresas de gaming com licencas e ativos digitais valiosos replicam o perfil de alvos historicos do APT41 (roubo de moeda virtual, source code e certificados digitais). **Riscos de Supply Chain:** Empresas brasileiras que usam software de fornecedores comprometidos pelo APT41 em campanhas de supply chain sao vulneraveis a comprometimentos indiretos - sem necessidade de ataque direto. ## Referências - [MITRE ATT&CK - APT41 (G0096)](https://attack.mitre.org/groups/G0096) - [Google TAG/Mandiant - APT41 DUSTPAN Operation](https://terrazone.io/apt41-china-cyber-threat-group/) - [The Hacker News - APT41 Silver Dragon Targets EU/SE Asia Governments](https://thehackernews.com/2026/03/apt41-linked-silver-dragon-targets.html) - [Quorum Cyber - APT41 Expands to African Governments](https://www.quorumcyber.com/threat-intelligence/apt41-expands-operations-to-african-governments/) - [Freemindtronic - APT41 Cyberespionage and Cybercrime 2025](https://freemindtronic.com/apt41-cyberespionage-and-cybercrime/) - [Picus Security - APT41 Full TTP Analysis 2025](https://www.picussecurity.com/resource/blog/apt41-cyber-attacks-history-operations-and-full-ttp-analysis) - [BrandDefense - APT41 2025](https://brandefense.io/blog/apt41-2025/) **Atores relacionados:** [[g1017-volt-typhoon|Volt Typhoon]] · [[g1045-salt-typhoon|Salt Typhoon]] · [[g0125-silk-typhoon|HAFNIUM]] **Campanhas:** [[apt41-dust|APT41 DUST]] · [[apt41-silver-dragon-2024|Silver Dragon 2024]] · [[c0017|C0017]] **Malware e ferramentas:** [[s1158-dustpan|DUSTPAN]] · [[dodgebox|DodgeBox]] · [[moonwalk|MoonWalk]] · [[s0013-plugx|PlugX]] · [[s1051-keyplug|KEYPLUG]] · [[s0154-cobalt-strike|Cobalt Strike]] **CVEs exploradas:** [[cve-2025-6554|CVE-2025-6554]] **TTPs principais:** [[t1195-002-compromise-software-supply-chain|T1195.002]] · [[t1014-rootkit|T1014]] · [[t1553-002-code-signing|T1553.002]] · [[t1078-valid-accounts|T1078]] · [[t1021-002-smbwindows-admin-shares|T1021.002]] **Setores alvejados:** [[healthcare|Saúde]] · [[telecommunications|Telecomúnicacoes]] · [[technology|Tecnologia]] · [[gaming|Gaming]] · [[logistics|Logistica]] · [[government|Governo]] ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.