# Funshion > Tipo: **backdoor** · [APT41 Toolset](https://attack.mitre.org/groups/G0096/) ## Descrição [[funshion|Funshion]] é um backdoor atribuído ao grupo [[g0096-apt41|APT41]], identificado em análises do arsenal técnico do grupo por empresas de segurança como FireEye/Mandiant. O nome deriva de um software de streaming de vídeo chinês legítimo que o malware utiliza como cobertura - uma técnica de mascaramento comum no arsenal do APT41, que frequentemente disfarça seus implantes como software legítimo de origem asiática. O Funshion foi identificado em campanhas de espionagem contra alvos governamentais e corporativos na Ásia-Pacífico. O [[funshion|Funshion]] fornece capacidades básicas de backdoor: execução de comandos shell, transferência de arquivos, e comunicação C2 via protocolos web. O malware persiste via chaves de registro Run e utiliza múltiplas técnicas de ofuscação para dificultar detecção. Como outros implantes do [[g0096-apt41|APT41]], o Funshion é tipicamente parte de uma cadeia de comprometimento mais longa que inclui ferramentas de reconhecimento, movimentação lateral e exfiltração. O grupo tem prática documentada de usar nomes de software legítimo chinês para seus implantes como forma de confundir analistas e evitar detecção por nome de processo. O [[g0096-apt41|APT41]] opera uma das maiores e mais diversas coleções de ferramentas entre grupos APT conhecidos, com implantes para Windows, Linux, macOS e plataformas móveis. Esta amplitude indica um grupo com recursos significativos e múltiplos subgrupos especializados trabalhando em diferentes segmentos de operações. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0096-apt41|APT41]] ## Detecção > [!tip] Indicadores de Detecção > - Alertar sobre processos com nomes correspondentes a software legítimo que realizam conexões de rede incomuns > - Monitorar chaves de registro Run para processos com nomes de software de streaming ou mídia > - Detectar execução de shell commands a partir de processos de aplicações de mídia > - Verificar assinaturas digitais de executáveis cujos nomes correspondem a software legítimo conhecido > - Implementar threat intelligence feeds que incluam IoCs do APT41 para correlação em tempo real ## Relevância LATAM/Brasil O [[g0096-apt41|APT41]] tem documentação de ataques a organizações brasileiras nos setores de saúde, farmacêutico e tecnologia. A técnica de disfarçar implantes como software legítimo é eficaz em ambientes onde o controle de software instalado é limitado. Empresas brasileiras com parcerias ou operações na China e Ásia-Pacífico têm risco elevado de exposição ao APT41. A natureza dual do grupo (espionagem + crime) significa que mesmo organizações sem valor estratégico imediato podem ser comprometidas por motivações financeiras. ## Referências - [MITRE ATT&CK - APT41 (G0096)](https://attack.mitre.org/groups/G0096/)