s0596-shadowpad - RunkIntel

# ShadowPad > [!danger] Resumo > Backdoor modular fechado (closed-source) originalmente desenvolvido pelo grupo chines BRONZE ATLAS/APT41 e distribuido para múltiplos grupos APT chineses a partir de 2019. Opera via DLL side-loading, usa DGA para resolução de C2, mantém virtual file system criptografado no registro e e considerado a evolução do PlugX. Em 2025, associado a campanhas de ransomware contra industria manufatureira global, incluindo alvos na América do Sul. ## Visão Geral O [[s0596-shadowpad|ShadowPad]] e um dos backdoors mais sofisticados e amplamente compartilhados entre grupos APT de nexo chines. Identificado pela primeira vez em julho de 2017 numa compromissao da cadeia de suprimentos do software NetSarang, o malware foi inicialmente associado exclusivamente ao [[g0096-apt41|APT41]], mas a partir de 2019 passou a ser compartilhado com múltiplos grupos afiliados ao Ministerio de Segurança do Estado (MSS) e ao Exercito de Liberacao do Povo (PLA). A Secureworks documentou que o ShadowPad foi provavelmente desenvolvido por indivíduos afiliados ao BRONZE ATLAS, com sobreposicao de código entre ShadowPad e [[s0013-plugx|PlugX]], sugerindo autoria comum ou colaboracao estreita. A distribuição do malware para outros grupos foi facilitada por reformas do PLA de 2015 que criaram comandos de teatro, com clusters de atividade alinhados geograficamente com os focos do Comando Norte (Korea do Sul, Russia, Jápao), Comando Oeste (India, Afeganistao) e Comando Sul (regiao do Mar do Sul da China). Em 2024-2025, uma campanha documentada pela Trend Micro comprometeu pelo menos 21 empresas em 15 paises incluindo Europa, Oriente Medio, Asia e **América do Sul**, com foco na industria manufatureira. Em alguns casos, após espionagem, o ator implatou um ransomware de familia previamente nao documentada - comportamento atipico para usuarios do ShadowPad. O ShadowPad moderno usa ofuscacao ScatterBrain/ScatterBee, DNS-over-HTTPS para C2, e armazena payload criptografado no registro usando o número serial de volume do disco como chave - garantindo que o malware so execute no sistema alvo específico. **Plataformas:** Windows ## Como Funciona O ShadowPad utiliza DLL side-loading para injetar seu payload em processos legitimos do sistema, como `svchost.exe` ou aplicativos de terceiros. O malware: 1. **Persistência**: Cria servico ou entrada de registro para execução automatica 2. **Carregamento**: Usa DLL side-loading para carregar módulos em processos legitimos 3. **Armazenamento**: Mantem virtual file system criptografado no registro Windows 4. **C2**: Utiliza DGA baseado no dia do mes para gerar dominios de C2; suporta HTTP, FTP, DNS e UDP 5. **Payload**: Envia dados a cada 8 horas de forma agendada para minimizar ruido de rede 6. **Anti-análise**: Técnicas de anti-debugging; payload criptografado com número serial de volume ## Cadeia de Infecção ```mermaid graph TB A["Acesso Inicial VPN com senha fraca ou credenciais comprometidas"] --> B["Implantação ShadowPad DLL side-loading em processo legitimo"] B --> C["Persistência Servico Windows ou chave de registro"] C --> D["Virtual File System Payload criptografado armazenado no registro"] D --> E["Comúnicação C2 DGA por dia do mes DNS-over-HTTPS"] E --> F["Reconhecimento ADFind, PowerView credential dumping"] F --> G["Movimentação Lateral RDP, SMB, WMI Impacket WmiExec"] G --> H["Exfiltração Dados comprimidos com 7-Zip + senha"] ``` ## Mapeamento de Clusters por Comando de Teatro PLA ```mermaid graph TB A["ShadowPad Plataforma central"] --> B["Comando Norte BRONZE HUNTLEY BRONZE BUTLER"] A --> C["Comando Oeste Targets India Afeganistao"] A --> D["Comando Sul BRONZE GENEVA Mar do Sul da China"] A --> E["MSS-afiliados BRONZE ATLAS APT41 APT15 UNC5174"] B --> F["Alvos: Korea do Sul Russia, Jápao, Mongolia"] C --> G["Alvos: India Infraestrutura critica"] D --> H["Alvos: Regiao Mar do Sul da China"] ``` ## Tacticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTP para recuperar URL de C2 | | C2 | [[t1071-004-dns\|T1071.004]] | Tunelamento DNS para C2 | | C2 | [[t1568-002-domain-generation-algorithms\|T1568.002]] | DGA baseado no dia do mes | | C2 | [[t1095-non-application-layer-protocol\|T1095]] | Comúnicação UDP para C2 | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Payload criptografado com chave baseada em volume serial | | Evasão | [[t1574-002-dll-side-loading\|T1574.002]] | DLL side-loading em processos legitimos | | Persistência | [[t1112-modify-registry\|T1112]] | Virtual file system no registro Windows | | Persistência | [[t1070-indicator-removal\|T1070]] | Remoção de entradas de registro | | Execução | [[t1055-001-dll-injection\|T1055.001]] | Injecao de DLL em svchost.exe | | Descoberta | [[t1057-process-discovery\|T1057]] | Coleta de PID do processo malicioso | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Status de memoria, CPU, versoes de SO | ## Relevância LATAM/Brasil Em fevereiro de 2025, a Trend Micro documentou uma campanha envolvendo ShadowPad que comprometeu **pelo menos 1 empresa na América do Sul**, entre 21 alvos globais em 15 paises. O foco principal foi industria manufatureira - setor relevante para o Brasil. Alem disso, o [[g0096-apt41|APT41]] tem historico de operações contra empresas de tecnologia e saúde globalmente, incluindo a América Latina. Organizacoes brasileiras nos setores de manufatura, tecnologia, saúde e telecomúnicacoes devem considerar ShadowPad como ameaça prioritaria. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar DLL side-loading em processos suspeitos (imecmnt.exe, outros executaveis legítimos carregando DLLs nao-padrao) > - Buscar criação de chaves de registro incomuns com dados criptografados grandes (virtual file system) > - Alertar sobre conexoes DNS para dominios gerados algoritmicamente (DGA) - verificar padroes de resolução por dia do mes > - Detectar uso de 7-Zip com senha e criação de arquivos com nome baseado em MAC address > - Monitorar WmiExec, ADFind, NbtScan, PowerView como ferramentas de reconhecimento pos-comprometimento > - Buscar arquivos nomeados com extensao `.log` contendo timestamps no formato filetime de Windows ## Referências - [MITRE ATT&CK - S0596](https://attack.mitre.org/software/S0596/) - [Secureworks - ShadowPad Malware Analysis](https://www.secureworks.com/research/shadowpad-malware-analysis) - [Trend Micro - Updated ShadowPad Leads to Ransomware](https://www.trendmicro.com/en_us/research/25/b/updated-shadowpad-malware-leads-to-ransomware-deployment.html) - [SentinelLabs - Follow the Smoke](https://www.sentinelone.com/labs/follow-the-smoke-china-nexus-threat-actors-hammer-at-the-doors-of-top-tier-targets/) - [NCC Group - ShadowPad Intrusion Analysis](https://www.nccgroup.com/research-blog/a-glimpse-into-the-shadowy-realm-of-a-chinese-apt-detailed-analysis-of-a-shadowpad-intrusion/)