# Crosswalk > Tipo: **backdoor** · S0438 · [MITRE ATT&CK](https://attack.mitre.org/software/S0438) ## Descrição [[crosswalk|Crosswalk]] (também conhecido como ProxIP) é um backdoor modular utilizado pelo [[g0096-apt41|APT41]], grupo de ameaça chinês que combina espionagem patrocinada pelo estado com atividades de cibercrime financeiramente motivadas. Documentado pela FireEye/Mandiant como parte do arsenal APT41, o [[crosswalk|Crosswalk]] serve como backdoor de acesso persistente utilizado em operações de espionagem de alto valor contra organizações de saúde, tecnologia, telecomúnicações e governo. O [[crosswalk|Crosswalk]] comúnica-se com servidores C2 via HTTP/HTTPS utilizando encoding padrão (Base64) para ofuscar o tráfego malicioso entre requisições aparentemente legítimas. O malware implementa uma arquitetura de plugin modular: o componente central gerencia comunicação C2 e execução de comandos shell, enquanto módulos adicionais podem ser carregados para expandir capacidades conforme as necessidades operacionais. O reconhecimento inicial inclui coleta de informações do sistema, usuários e processos em execução. O [[g0096-apt41|APT41]] é único entre grupos APT por combinar missões de espionagem estatal (atribuídas ao IOSD, unidade da inteligência chinesa) com operações de cibercrime como ransomware e roubo de código de videogames. O [[crosswalk|Crosswalk]] é utilizado nas operações de espionagem, enquanto outras ferramentas do grupo servem ao braço criminoso. Essa dualidade de missão torna o APT41 um dos grupos mais prolíficos e versáteis em atividade, com comprometimentos documentados em dezenas de países. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Grupos que Usam - [[g0096-apt41|APT41]] ## Detecção - Monitorar tráfego HTTP/HTTPS com padrões de encoding Base64 incomuns em requisições para domínios desconhecidos ([[t1132-001-standard-encoding|T1132.001]]) - Detectar processos realizando enumeração do sistema antes de estabelecer conexões externas ([[t1082-system-information-discovery|T1082]]) - Alertar sobre downloads de módulos adicionais (DLLs ou executáveis) via HTTP para caminhos temporários ([[t1105-ingress-tool-transfer|T1105]]) - Implementar regras YARA para detectar a estrutura de plugin modular característica do Crosswalk - Monitorar execuções de cmd.exe com parâmetros de reconhecimento (systeminfo, whoami, tasklist) em sequência rápida ([[t1059-003-windows-command-shell|T1059.003]]) ## Relevância LATAM/Brasil O [[g0096-apt41|APT41]] tem interesse documentado em empresas de tecnologia, telecomúnicações, saúde e jogos digitais - setores em crescimento acelerado no Brasil. O Brasil possui um dos maiores mercados de gaming da América Latina e um setor de saúde digital em expansão, tornando-o alvo potencial do braço de cibercrime do APT41. A combinação de espionagem industrial e cibercrime financeiro do grupo representa uma ameaça multidimensional: empresas brasileiras com propriedade intelectual valiosa e organizações governamentais com dados estratégicos são igualmente vulneráveis às operações do APT41. ## Referências - [MITRE ATT&CK - S0438](https://attack.mitre.org/software/S0438) - [FireEye/Mandiant - APT41 Report](https://www.mandiant.com/resources/blog/apt41-double-dragon-a-dual-espionage-and-cyber-crime-operation)