# GearDoor Backdoor > [!high] Backdoor do APT41 com C2 via Google Drive > O GearDoor é um backdoor modular desenvolvido pelo grupo **APT41**, utilizado na campanha Silver Dragon em 2024. Sua principal característica é o uso de serviços legítimos do Google Drive como infraestrutura de comando e controle, tornando o tráfego malicioso práticamente indistinguível de uso empresarial normal. ## Visão Geral O GearDoor é um backdoor sofisticado atribuído ao grupo de ameaça persistente avançada [[g0096-apt41]], um dos mais prolíficos atores de espionagem cibernética ligados à China. Descoberto durante análise da campanha [[apt41-silver-dragon-2024]] em 2024, o GearDoor representa a evolução das táticas de evasão do APT41, que há anos aprimora o uso de infraestrutura legítima para mascarar comúnicações maliciosas. A característica mais notável do GearDoor é o abuso do Google Drive como canal de comunicação C2. Ao utilizar APIs e serviços legítimos de armazenamento em nuvem, o malware evita a detecção por ferramentas de segurança tradicionais que bloqueiam ou monitoram domínios suspeitos — o tráfego para `drive.google.com` raramente é bloqueado em ambientes corporativos. Essa técnica, conhecida como "Living off Trusted Sites" (LoTS), é uma evolução natural das abordagens de evasão de firewall. O APT41 opera desde pelo menos 2012 e é único entre os grupos APT pelo fato de conduzir tanto espionagem patrocinada pelo Estado quanto operações de crime cibernético com motivação financeira. O GearDoor foi identificado em ataques contra organizações no Sudeste Asiático e possívelmente na América Latina, alinhando-se ao histórico de alvos globais do grupo, que inclui setores de tecnologia, telecomúnicações e saúde. Para o contexto LATAM, o APT41 tem histórico documentado de operações no Brasil e em outros países da região, especialmente contra o setor de tecnologia e empresas farmacêuticas durante a pandemia de COVID-19. O GearDoor, com sua capacidade de operar de forma furtiva em redes corporativas, representa uma ameaça concreta para organizações que dependem de serviços Google Workspace. > [!latam] Relevância para o Brasil > O **GearDoor** é uma ameaça concreta ao Brasil: o **APT41** tem histórico de operações contra empresas brasileiras de tecnologia e farmacêuticas. O uso de **Google Drive como C2** é particularmente perigoso no contexto brasileiro, onde o **Google Workspace** é amplamente adotado por empresas e o governo — tráfego para `drive.google.com` raramente é bloqueado. Organizações brasileiras que usam Google Workspace devem implementar **CASB** e monitoramento de OAuth para detectar autorizações anômalas de aplicações como as usadas pelo GearDoor. ## Análise Técnica ### Características Principais O GearDoor é implementado como um backdoor modular, permitindo que operadores carreguem componentes específicos conforme necessário, minimizando a exposição de capacidades completas. As principais funcionalidades incluem: - **C2 via Google Drive**: Utiliza a API do Google Drive para ler arquivos de configuração e postar resultados de comandos, contornando firewalls que permitem tráfego para serviços Google - **Execução de comandos**: Suporte a execução de comandos arbitrários via PowerShell e CMD - **Transferência de arquivos**: Upload e download de arquivos via Google Drive como intermediário - **Persistência**: Registro como serviço do Windows ou via chave de registro Run - **Mascaramento**: Utiliza nomes de processos e serviços legítimos para evitar detecção ### Attack Flow ```mermaid graph TB A["🎯 Comprometimento Inicial<br/>Phishing / Supply Chain"] --> B["💾 Implantação do GearDoor<br/>Loader via BamboLoader"] B --> C["🔧 Estabelecimento de Persistência<br/>Serviço Windows / Registro"] C --> D["☁️ Conexão com Google Drive<br/>API OAuth legítima"] D --> E["📥 Leitura de Comandos C2<br/>Arquivo criptografado no Drive"] E --> F["⚙️ Execução de Tarefas<br/>PowerShell / CMD"] F --> G["📤 Exfiltração de Dados<br/>Upload para Google Drive"] G --> D ``` ### Relação com BamboLoader O GearDoor frequentemente é implantado em conjunto com o [[bamboloader]], outro malware do APT41 identificado na mesma campanha Silver Dragon. O BamboLoader atua como estágio inicial, carregando e injetando o GearDoor no processo alvo após desfazobscurecer o payload com RC4 e XOR. ```mermaid graph TB subgraph "Cadeia de Infecção APT41" A["📧 Email de Spear-Phishing<br/>Documento com macro"] --> B["🔄 BamboLoader<br/>DLL Sideloading via GameHook.exe"] B --> C["💉 Injeção em taskhost.exe<br/>Shellcode RC4+LZNT1+XOR"] C --> D["🚪 GearDoor Backdoor<br/>Módulo persistente"] D --> E["☁️ C2 Google Drive<br/>Comúnicação cifrada"] end ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Command and Scripting Interpreter: PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de comandos via PowerShell | | Exfiltration to Cloud Storage | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002]] | Exfiltração via Google Drive | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | | Application Layer Protocol: DNS | [[t1071-004-dns\|T1071.004]] | Comúnicação via protocolos legítimos | | Masquerading | [[t1036-masquerading\|T1036]] | Disfarce como processos legítimos | ## Detecção e Defesa ### Indicadores de Comprometimento > [!ioc]- IOCs - GearDoor Backdoor (TLP:GREEN) > **Comportamento de rede:** > - Conexões autenticadas incomuns para `googleapis.com` com tokens OAuth gerados fora dos sistemas de gerenciamento de identidade da organização > - Acessos frequentes e regulares à API do Google Drive fora do horário comercial > > **Artefatos no host:** > - Serviços Windows com nomes similares a processos legítimos do sistema > - Chaves de registro de persistência em `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost` > - Tokens OAuth do Google armazenados em diretórios não padrão > > **Fontes:** [Relatório APT41 Silver Dragon](https://www.mandiant.com) · [APT41 TTPs](https://attack.mitre.org/groups/G0096/) ### Estratégias de Mitigação Para defesa contra o GearDoor e técnicas similares de C2 via serviços legítimos: 1. **Monitoramento de OAuth**: Implementar detecção de autorizações OAuth anômalas para aplicações Google em ambientes corporativos 2. **CASB (Cloud Access Security Broker)**: Utilizar soluções CASB para inspeção de conteúdo em uploads para Google Drive mesmo via canais cifrados 3. **Proteção de endpoint**: Regras EDR para detectar injeção de processo em `taskhost.exe` e outros processos de sistema 4. **Segmentação de rede**: Restringir acesso à internet para servidores e sistemas que não necessitem de conectividade com Google Drive ### Regras de Detecção Buscar processos Windows que façam chamadas autenticadas à API do Google Drive fora de aplicações empresariais aprovadas. O padrão de acesso regular e periódico (polling de C2) pode ser identificado pela frequência constante de requisições. ## Referências - [APT41 - MITRE ATT&CK](https://attack.mitre.org/groups/G0096/) - [APT41 Silver Dragon Campaign Analysis](https://www.mandiant.com/resources/blog) - [Living off Trusted Sites (LoTS) - MITRE](https://attack.mitre.org/techniques/T1567/002/)