# JUMPLUMP > Tipo: **backdoor** · S1040 · [MITRE ATT&CK](https://attack.mitre.org/software/S1040) ## Descrição [[s1040-jumplump|JUMPLUMP]] é um backdoor sofisticado atribuído ao grupo [[g0125-silk-typhoon|HAFNIUM]], ator de ameaça chinês patrocinado pelo Estado, identificado em campanhas de exploração de vulnerabilidades em servidores Microsoft Exchange em 2021 (ProxyLogon). O [[s1040-jumplump|JUMPLUMP]] é tipicamente instalado como payload de segunda fase após o comprometimento inicial via webshells, funcionando como um implante persistente de longo prazo que fornece acesso contínuo ao ambiente comprometido. O [[s1040-jumplump|JUMPLUMP]] implementa comunicação C2 via HTTP/HTTPS ([[t1071-001-web-protocols|T1071.001]]) com dados codificados/ofuscados ([[t1027-obfuscated-files-or-information|T1027]]) para evadir inspeção de tráfego. Suas capacidades incluem execução de comandos remotos via cmd.exe ([[t1059-003-windows-command-shell|T1059.003]]), transferência de ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]), descoberta de informações do sistema ([[t1082-system-information-discovery|T1082]]) e decodificação de payloads em memória ([[t1140-deobfuscatedecode-files-or-information|T1140]]). A persistência é mantida via entradas de registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]), garantindo reinstalação mesmo após reinicializações. O [[g0125-silk-typhoon|HAFNIUM]] é um ator de espionagem chinês focado em pesquisadores de doenças infecciosas, escritórios de advocacia, educação superior, empreiteiros de defesa, think tanks e ONGs. O uso do [[s1040-jumplump|JUMPLUMP]] em conjunto com webshells instaladas via ProxyLogon (CVE-2021-26855) demonstra a capacidade do [[g0125-silk-typhoon|HAFNIUM]] de explorar rapidamente vulnerabilidades zero-day em software amplamente utilizado para comprometer infraestrutura crítica globalmente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Detecção Detecção do [[s1040-jumplump|JUMPLUMP]] requer monitoramento de servidores Exchange para webshells e comportamentos de segundo estágio. Verificar: presença de arquivos .aspx ou .ashx não-autorizados nos diretórios do Exchange; processos filhos do IIS (w3wp.exe) executando cmd.exe ou PowerShell; e modificações no registro por processos do Exchange. Microsoft públicou scripts de detecção e mitigação específicos para o ProxyLogon e ferramentas relacionadas ao [[g0125-silk-typhoon|HAFNIUM]]. ## Relevância LATAM/Brasil Organizações brasileiras que utilizavam Microsoft Exchange on-premises em 2021 foram potencialmente expostas às vulnerabilidades ProxyLogon exploradas pelo [[g0125-silk-typhoon|HAFNIUM]] para distribuir o [[s1040-jumplump|JUMPLUMP]]. Universidades, escritórios de advocacia, empresas de tecnologia e entidades governamentais brasileiras com servidores Exchange vulneráveis foram alvo de varreduras massivas. Mesmo em 2025, organizações que não aplicaram patches ou não fizeram análise forense pós-ProxyLogon podem ainda ter implantes do [[s1040-jumplump|JUMPLUMP]] ativos em suas redes. ## Referências - [MITRE ATT&CK - S1040](https://attack.mitre.org/software/S1040)