# China Chopper > Tipo: **webshell** · S0020 · [MITRE ATT&CK](https://attack.mitre.org/software/S0020) > [!abstract] Visão Geral > Web shell minimalista ativo desde 2012, com componente servidor de apenas 4KB. Utilizado por pelo menos 9 grupos APT distintos, incluindo GALLIUM, HAFNIUM e APT41. Em marco de 2025, a Sygnia documentou sua utilização em operação "Weaver Ant" contra telecomúnicacoes em Asia por mais de 4 anos consecutivos. ## Descrição [[s0020-china-chopper|China Chopper]] e um [[t1505-003-web-shell|web shell]] extremamente compacto que fornece acesso persistente a servidores web comprometidos sem depender de conexoes de callback para infraestrutura C2 externa. Diferentemente de RATs tradicionais que precisam chamar de volta um servidor, o [[s0020-china-chopper|China Chopper]] aguarda passivamente por requisicoes HTTP POST do operador - um design que o torna invisivel a controles de firewall de saida e detecção de beacon C2. Identificado pela primeira vez em 2012, o malware se tornou um dos web shells mais amplamente adotados por grupos de ameaça avancada, com 9 grupos APT documentados em sua utilização por pelo menos 12 anos consecutivos. A arquitetura do [[s0020-china-chopper|China Chopper]] e decomposta em dois componentes: o **componente servidor** (hospedado no servidor web comprometido) consiste em apenas uma linha de código ASP, ASPX, PHP ou JSP que avalia e executa código recebido via HTTP POST; o **componente cliente** e um binario Windows empacotado com UPX ([[t1027-002-software-packing|T1027.002]]) que serve como painel de controle para o operador. Esta separacao e fundamental: o servidor e tao minusculo que passa despercebido em auditorias de código, e o cliente nunca precisa ser deployado no alvo. Toda a lógica de C2 transita via requisicoes HTTP POST para o servidor, usando o protocolo web normal ([[t1071-001-web-protocols|T1071.001]]). Em marco de 2025, a Sygnia revelou a operação "Weaver Ant" - onde atores vinculados a China utilizaram o [[s0020-china-chopper|China Chopper]] para manter acesso persistente a redes de uma empresa de telecomúnicacoes asiatica por mais de 4 anos. O caso ilustra a longevidade excepcional do malware: sua modularidade, seu footprint mínimo e sua capacidade de operar dentro de trafego web legitimo permitem que ele sobreviva a trocas de equipe, auditorias de segurança e atualizacoes de sistemas. O componente servidor pode ser reintroduzido rapidamente se removido, desde que o operador mantenha acesso inicial. **Plataformas:** Windows, Linux (servidor web alvo) ## Como Funciona O operador usa o cliente UPX-packed para enviar requisicoes HTTP POST para o servidor comprometido. O servidor avalia o código recebido usando funções de avaliacao dinâmica da linguagem (ex: `eval()` em PHP ou `<%=eval(Request["password"])%>` em ASP). Isso permite ao operador executar comandos arbitrarios, navegar no filesystem ([[t1083-file-and-directory-discovery|T1083]]), exfiltrar dados ([[t1005-data-from-local-system|T1005]]) e transferir arquivos adicionais ([[t1105-ingress-tool-transfer|T1105]]). O [[s0020-china-chopper|China Chopper]] também suporta modificacao de timestamps de arquivos ([[t1070-006-timestomp|T1070.006]]) para disfarcar quando arquivos maliciosos foram colocados no servidor, e pode conduzir varredura de servicos internos ([[t1046-network-service-discovery|T1046]]) para mapeamento lateral da rede. ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>Exploit web app / brute force<br/>Upload de web shell"] --> B["🐚 China Chopper<br/>Componente servidor instalado<br/>1 linha de código ASP/PHP"] B --> C["📡 C2 Passivo<br/>Aguarda HTTP POST<br/>Sem beacon de saida"] C --> D["🔍 Reconhecimento<br/>File/Directory Discovery<br/>Network Service Discovery"] D --> E["📂 Coleta de Dados<br/>Data from Local System<br/>Timestomping para evasão"] E --> F["📤 Exfiltração<br/>Ingress Tool Transfer<br/>Lateral movement para rede interna"] F --> G["🔁 Persistência<br/>Shell reutilizavel indefinidamente<br/>Footprint mínimo - dificil de detectar"] classDef attack fill:#c0392b,stroke:#922b21,color:#fff classDef stealth fill:#7f8c8d,stroke:#626567,color:#fff classDef collect fill:#e67e22,stroke:#ca6f1e,color:#fff classDef persist fill:#8e44ad,stroke:#6c3483,color:#fff class A attack class B,C stealth class D,E collect class F,G persist ``` **Grupos que operam este kill chain:** GALLIUM, HAFNIUM, APT41, Leviathan, Mustang Panda, ToddyCat, Fox Kitten, BackdoorDiplomacy, Threat Group-3390 ## Timeline ```mermaid timeline title China Chopper - Historico de Atividade 2012 : Identificado pela primeira vez : Componente servidor de 4KB documentado 2013 : Relatorio Mandiant APT1 : China Chopper amplamente documentado 2017 : Threat Group-3390 usando contra alvos governo : Leviathan usando em espionagem maritima 2019 : HAFNIUM adota China Chopper : APT41 usa em operacoes dupla motivacao 2021 : Explorado via ProxyLogon (Exchange) : GALLIUM usa contra telecom na Asia/Africa 2024 : ToddyCat documenta uso em APAC : BackdoorDiplomacy em alvos diplomaticos 2025 : Sygnia "Weaver Ant" - 4 anos persistência : Ainda ativo e amplamente utilizado ``` ## Técnicas Utilizadas - [[t1505-003-web-shell|T1505.003 - Web Shell]] - componente servidor avalia código via HTTP POST - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - C2 via HTTP/HTTPS normal - [[t1027-002-software-packing|T1027.002 - Software Packing]] - cliente empacotado com UPX - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - execução de comandos no servidor - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - navegacao no filesystem - [[t1005-data-from-local-system|T1005 - Data from Local System]] - coleta de arquivos e dados - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - upload de ferramentas adicionais - [[t1070-006-timestomp|T1070.006 - Timestomp]] - modificacao de timestamps para evasão - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - mapeamento de servicos internos - [[t1110-001-password-guessing|T1110.001 - Password Guessing]] - brute force de acesso inicial ## Grupos que Usam - [[g0093-gallium|GALLIUM]] - telecomúnicacoes Asia/Africa - [[g0125-silk-typhoon|HAFNIUM]] - via Exchange ProxyLogon - [[g0096-apt41|APT41]] - operações espionagem + crime financeiro - [[g0065-leviathan|Leviathan]] - espionagem maritima e defesa - [[g0129-mustang-panda|Mustang Panda]] - alvos governamentais - [[g1022-toddycat|ToddyCat]] - organizacoes APAC - [[g0117-fox-kitten|Fox Kitten]] - Iran-linked, VPN exploitation - [[g0135-backdoordiplomacy|BackdoorDiplomacy]] - alvos diplomaticos e governo - [[g0027-threat-group-3390|Threat Group-3390]] - organizacoes China/Asia ## Relevância LATAM/Brasil O [[s0020-china-chopper|China Chopper]] tem relevância direta para o Brasil, dado o crescente interesse de grupos APT chineses em infraestrutura de telecomúnicacoes e setores estratégicos latino-americanos. O [[g0093-gallium|GALLIUM]] - um dos grupos mais ativos usando China Chopper - tem historico documentado de targeting de empresas de telecomúnicacoes em regioes onde a China tem interesses economicos estratégicos, incluindo América Latina. Provedores de internet e empresas de telecom brasileiras com aplicações web expostas a internet (portais de administracao, aplicações legadas) sao alvos potenciais. A operação "Weaver Ant" de 2025 demonstrou que o China Chopper pode manter persistência em redes de telecom por mais de 4 anos sem ser detectado - um cenário plausivel em organizacoes brasileiras com maturidade de segurança limitada e sem monitoramento adequado de integridade de aplicações web. Empresas de infraestrutura critica devem incluir auditoria de web shells como parte rotineira de seus programas de segurança. ## Detecção - Monitorar criação de arquivos com extensoes `.asp`, `.aspx`, `.php`, `.jsp` em diretorios web por processos nao relacionados a deploys (IIS, Apache, Nginx) - Detectar requisicoes HTTP POST com corpos contendo funções de avaliacao dinâmica (`eval`, `execute`, `assert`) para arquivos de script existentes - Implementar verificação de integridade de arquivos (FIM) em diretorios web - qualquer arquivo nao presente no baseline deve gerar alerta - Alertar para processos filhos do servidor web (IIS, Apache) executando comandos de sistema (`cmd.exe`, `bash`, `powershell.exe`) - Monitorar modificacoes de timestamps de arquivos (`timestomp`) - especialmente em arquivos de script recentemente criados ```sigma title: China Chopper Web Shell Execution status: stable logsource: category: process_creation product: windows detection: selection: ParentImage|contains: - '\w3wp.exe' - '\httpd.exe' - '\nginx.exe' Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' condition: selection falsepositives: - Legitimaté web application management scripts level: high tags: - attack.t1505.003 - attack.persistence - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0020) MITRE ATT&CK - S0020 China Chopper (2024) - [2](https://www.sygnia.co/blog/weaver-ant-espionage-campaign/) Sygnia - Weaver Ant: Four-Year Telecom Espionage Campaign (2025) - [3](https://www.mandiant.com/resources/blog/china-chopper-still-active-9-years-later) Mandiant - China Chopper Still Active 9 Years Later (2019) - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-116a) CISA - Exploitation of Pulse Connect Secure Vulnerabilities (2021)