# FULLHOUSE.DOORED > Tipo: **backdoor** · S1110 · [MITRE ATT&CK](https://attack.mitre.org/software/S1110/) ## Descrição [[s1110-fullhousedoored|FULLHOUSE.DOORED]] é um backdoor atribuído ao grupo [[g0096-apt41|APT41]] (também conhecido como Double Dragon, Winnti Group), um dos grupos APT mais prolíficos associados à China que combina espionagem patrocinada pelo estado com operações cibercriminosas por motivação financeira. O malware foi identificado em campanhas de 2022 direcionadas a organizações governamentais e do setor de saúde em múltiplos países asiáticos, sendo utilizado como implante de segundo estágio após comprometimento inicial. O [[s1110-fullhousedoored|FULLHOUSE.DOORED]] implementa comunicação C2 via HTTP/HTTPS e fornece ao operador capacidades de execução de comandos shell, transferência de arquivos e reconhecimento do sistema comprometido. O malware utiliza técnicas de ofuscação para dificultar análise estática e dinâmica, incluindo strings cifradas e verificações anti-sandbox. A nomenclatura "DOORED" sugere que o backdoor é implantado em sistemas que já foram previamente comprometidos (com uma "porta dos fundos" já existente), sendo uma ferramenta de persistência secundária. O [[g0096-apt41|APT41]] é distintivo por sua dupla atuação: opera tanto como grupo de espionagem estatal quanto como ator de cibercrimes financeiros, atacando o setor de videogames e criptomoedas além de alvos governamentais tradicionais. Esta combinação de motivações torna o grupo particularmente perigoso e imprevisível em termos de escopo de alvos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[g0096-apt41|APT41]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar backdoors de segundo estágio usando EDR com capacidade de correlação temporal (implante aparece após comprometimento inicial) > - Detectar padrões de comunicação HTTP/HTTPS para domínios C2 com intervalos regulares de check-in > - Verificar processos com strings ofuscadas ou com alto índice de entropia nos segmentos de código > - Alertar sobre processos cmd.exe filhos de serviços de sistema ou processos legítimos incomuns > - Implementar threat hunting periódico para implantes de segundo estágio em sistemas de alto valor ## Relevância LATAM/Brasil O [[g0096-apt41|APT41]] tem histórico documentado de ataques a organizações de saúde, farmacêuticas e governamentais globalmente - setores com presença significativa no Brasil. O grupo também tem histórico de comprometimento de empresas de videogames e telecomúnicações que operam no mercado brasileiro. A combinação de motivações de espionagem e financeiras do APT41 significa que empresas brasileiras podem ser alvo tanto por valor estratégico quanto por valor econômico direto (como roubo de propriedade intelectual farmacêutica ou manipulação de jogos online). ## Referências - [MITRE ATT&CK - S1110](https://attack.mitre.org/software/S1110/)