# UNC4841 > [!danger] APT Chinês — Exploit Barracuda ESG Zero-Day > **UNC4841** é um grupo de espionagem atribuído à China que explorou o zero-day **CVE-2023-2868** no Barracuda Email Security Gateway (ESG) para comprometer centenas de organizações governamentais e tecnológicas globalmente — com persistência que sobreviveu inclusive à substituição física dos appliances. ## Visão Geral UNC4841 é um grupo de espionagem chinês identificado pela Mandiant em 2023 após investigação de uma campanha que explorava o zero-day CVE-2023-2868 no Barracuda ESG. O CVE-2023-2868 é uma vulnerabilidade crítica de injeção de comando no módulo de processamento de anexos de e-mail do ESG, explorada pelo grupo desde outubro de 2022 — meses antes da descoberta pública em maio de 2023. O que torna o UNC4841 notável é a persistência extrema: após a Barracuda Networks liberar patches, o grupo adaptou seus implantes para sobreviver. A situação foi tão grave que a própria Barracuda tomou a decisão sem precedentes de recomendar que clientes **substituíssem fisicamente** os appliances ESG afetados, em vez de aplicar apenas patches de software — a única vez que um vendor tomou essa postura em casos documentados públicamente. A campanha foi direcionada a alvos de alto valor em governo, defesa e tecnologia em mais de 16 países, com foco particular em organizações dos EUA, Ásia-Pacífico e Europa envolvidas em política externa relacionada à China. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nShodan / Scanning ESG] --> B[Exploração\nCVE-2023-2868\nEmail com anexo TAR malicioso] B --> C[Persistência\nSEASPY / SEASIDE backdoors\nSystemd persistence] C --> D[Coleta\nE-mails de governo\nCredenciais / dados diplomáticos] D --> E[Exfiltração\nC2 via DNS\nTrafego ofuscado] E --> F[Sobrevivência\nPatch bypass\nSubstituição de hardware necessária] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit ESG | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2023-2868 Barracuda ESG injection | | Backdoor Persistente | [[t1059-command-and-scripting-interpreter\|T1059]] | SEASPPY, SEASIDE implants em Linux | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais de e-mail coletadas do ESG | | C2 via DNS | [[t1102-web-service\|T1102]] | Comúnicação C2 ofuscada via DNS | ## Detecção e Defesa - Verificar imediatamente appliances Barracuda ESG com IOCs públicados pela Mandiant - Se appliance ESG foi comprometido: substituição física é recomendada (não apenas patch) - Revisar e-mails enviados/recebidos durante o período outubro 2022 - junho 2023 - Implementar monitoramento de integridade de arquivos em appliances de e-mail - Consultar IOCs do advisory CISA/FBI sobre UNC4841 para verificação ## Referências - Mandiant: UNC4841 Barracuda ESG zero-day exploitation (2023) - CISA Advisory AA23-193A: Barracuda ESG CVE-2023-2868 (2023) - Barracuda: Security Advisory — ESG appliance replacement recommendation (2023) - FBI: Flash Alert — UNC4841 China-nexus espionage (2023) - MITRE ATT&CK: CVE-2023-2868 exploitation mapping