# China Chopper > [!danger] Resumo > Webshell minimalista de apenas 4KB amplamente utilizado por grupos APT chineses desde 2012. Hospedado em servidores web comprometidos, fornece acesso persistente a redes corporativas via HTTP POST sem necessidade de callback para C2 externo. Um dos webshells mais prolificos da historia da espionagem cibernetica. ## Visão Geral O [[s0020-china-chopper|China Chopper]] e um webshell de dois componentes - um servidor (arquivo de texto hospedado no servidor web alvo) e um cliente (executavel no sistema do atacante) - que juntos fornecem capacidade de acesso remoto completa a servidores comprometidos. Sua caracteristica mais notavel e a extrema simplicidade: o componente servidor e frequentemente apenas uma linha de código PHP, JSP ou ASPX que executa dinâmicamente o conteudo enviado via POST. A ferramenta foi identificada pela primeira vez em 2012 e rapidamente se tornou a escolha preferêncial de grupos APT de nexo chines para manter persistência após comprometimento inicial de servidores web. A CISA documentou seu uso persistente em operações de espionagem patrocinadas pelo Estado chines, incluindo exploração de servidores Microsoft Exchange, IIS e aplicações web corporativas. O design cliente-servidor do China Chopper e pedagogicamente elegante: o servidor e um fragmento de código tao pequeno que frequentemente evade detecção por varredura de conteudo. O cliente e empacotado com UPX e executa todo o processamento de comandos localmente, enviando apenas instrucoes codificadas via HTTP POST. Essa arquitetura torna o trafico de rede dificil de distinguir de requisicoes web legitimas. Em 2024-2025, o China Chopper continuou sendo utilizado por grupos como [[g1022-toddycat|ToddyCat]] em campanhas contra infraestrutura governamental asiatica, e por [[g0027-threat-group-3390|Threat Group-3390]] em operações de espionagem de longo prazo, demonstrando sua longevidade como ferramenta APT de baixo custo e alto impacto. **Plataformas:** Windows, Linux, macOS (qualquer servidor web) ## Como Funciona O China Chopper opera em dois niveis: 1. **Componente servidor**: Um arquivo minusculo (frequentemente 1 linha) hospedado no servidor comprometido. O código usa funções de avaliacao dinâmica nativas da linguagem (eval em PHP, Jscript em ASPX) para executar instrucoes recebidas via HTTP POST. 2. **Componente cliente**: Interface grafica ou CLI que conecta ao servidor via HTTP POST, envia comandos codificados em base64 e gerencia arquivos, executa comandos de shell e realiza reconhecimento de rede. A comunicação e realizada inteiramente via HTTP/HTTPS porta 80/443, tornando-a virtualmente indistinguivel de trafico web normal para firewalls tradicionais. ## Cadeia de Infecção ```mermaid graph TB A["Reconhecimento<br/>Varredura de apps web vulneraveis"] --> B["Exploração<br/>Vuln em Exchange ou app web"] B --> C["Upload do Webshell<br/>Arquivo de 4KB em diretorio publico"] C --> D["Conexão HTTP POST<br/>Cliente conecta ao servidor"] D --> E["Execução de Comandos<br/>Shell, upload/download de arquivos"] E --> F["Reconhecimento<br/>Varredura de rede e credenciais"] F --> G["Movimentação Lateral<br/>Expansao para outros sistemas"] G --> H["Exfiltração<br/>Dados via HTTP/HTTPS"] ``` ## Tacticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Persistência | [[t1505-003-web-shell\|T1505.003]] | Webshell hospedado em servidor comprometido | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação via HTTP POST disfarçado de trafico legitimo | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Abertura de terminal de comandos no servidor | | Coleta | [[t1005-data-from-local-system\|T1005]] | Upload de arquivos locais do servidor | | Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Listagem de diretorios e arquivos | | Evasão | [[t1070-006-timestomp\|T1070.006]] | Alteração de timestamps de arquivos | | Transferencia | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | | Descoberta | [[t1046-network-service-discovery\|T1046]] | Varredura de portais de autenticação | | Acesso a Credenciais | [[t1110-001-password-guessing\|T1110.001]] | Forca bruta em portais de autenticação | | Evasão | [[t1027-002-software-packing\|T1027.002]] | Cliente empacotado com UPX | ## Grupos que Utilizam | Grupo | Nexo | Uso Documentado | |-------|------|-----------------| | [[g0093-gallium\|GALLIUM]] | China | Campanhas contra telecoms e MSPs globais | | [[g0096-apt41\|APT41]] | China | Persistência em servidores Exchange comprometidos | | [[g0027-threat-group-3390\|Threat Group-3390]] | China | Espionagem longa; Operation Wocao (inclui Brasil) | | [[g0125-silk-typhoon\|HAFNIUM]] | China | Exploração ProxyLogon no Exchange (2021) | | [[g0065-leviathan\|Leviathan]] | China | Comprometimento de alvos governamentais e navais | | [[g0129-mustang-panda\|Mustang Panda]] | China | Manutenção de acesso a ambientes comprometidos | | [[g1022-toddycat\|ToddyCat]] | China | Campanhas contra governos asiaticos (2024) | ## Timeline de Atividade ```mermaid timeline title China Chopper - Historico de Uso 2012 : Primeira identificação publica 2015 : Uso massivo em campanhas APT de larga escala 2021 : Exploração ProxyLogon Exchange pelo HAFNIUM 2022 : Operation Wocao com alvos no Brasil documentados 2024 : ToddyCat - governos asiaticos comprometidos 2025 : Ativo em campanhas SharePoint ToolShell ``` ## Relevância LATAM/Brasil O China Chopper tem relevância direta para o Brasil via [[operation-wocao|Operation Wocao]], campanha documentada pelo grupo [[g0027-threat-group-3390|Threat Group-3390]] que incluiu alvos brasileiros em seu escopo global de comprometimento de provedores de servicos gerenciados, empresas de aviacao, construcao, energia, finanças, saúde e tecnologia. Organizacoes brasileiras com servidores Exchange, IIS ou aplicações web expostas a internet devem priorizar detecção desta ferramenta. O [[g0093-gallium|GALLIUM]], outro usuario conhecido do China Chopper, tem historico de comprometimento de empresas de telecomúnicacoes na América Latina como parte de operações de espionagem globais. ## Detecção > [!tip] Indicadores de Detecção > - Buscar arquivos script pequenos (menos de 5KB) em diretorios web públicos com padroes de avaliacao dinâmica de código > - Monitorar requisicoes HTTP POST para arquivos de script com corpo codificado em base64 > - Alertar sobre processos spawned por w3wp.exe, nginx, apache que executam comandos de shell (cmd.exe, sh, bash) > - Verificar timestamps de arquivos em diretorios web - timestomping e indicativo de China Chopper > - Monitorar acesso nao autorizado a shares administrativos e movimentação lateral via SMB após comprometimento de servidor web ## Referências - [MITRE ATT&CK - S0020](https://attack.mitre.org/software/S0020/) - [CISA - Chinese State-Sponsored Cyber Operations TTPs](https://media.defense.gov/2021/Jul/19/2002805003/-1/-1/0/CSA_CHINESE_STATE-SPONSORED_CYBER_TTPS.PDF) - [Fox-IT - Operation Wocao](https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/)