# Derusbi > [!high] Backdoor compartilhado por múltiplos APTs chineses - plataforma de espionagem usada por Deep Panda, Leviathan, Axiom e APT41 > Identificado em operações desde 2010, o Derusbi (também conhecido como PHOTO) representa uma plataforma de acesso remoto de desenvolvimento central compartilhado entre unidades de inteligência cibernetica do governo chines. ## Visão Geral [[s0021-derusbi|Derusbi]] (também rastreado como PHOTO) e um backdoor sofisticado utilizado por múltiplos grupos APT chineses, incluindo [[g0065-leviathan|Leviathan]], [[g0009-deep-panda|Deep Panda]], [[g0001-axiom|Axiom]] e [[g0096-apt41|APT41]]. Identificado em operações de espionagem cibernetica desde pelo menos 2010, o Derusbi representa uma plataforma de acesso remoto compartilhada entre grupos de inteligência cibernetica associados ao governo chines - uma prática que dificulta a atribuicao precisa de intrusoes a um único ator. A diversidade dos grupos que empregam o Derusbi revela sua versatilidade: o [[g0065-leviathan|Leviathan]] o usou em operações de espionagem maritima contra alvos governamentais e de defesa da regiao Asia-Pacifico (TEMP.Periscope em 2017-2018); o [[g0009-deep-panda|Deep Panda]] em espionagem corporativa e governamental contra os EUA; o [[g0001-axiom|Axiom]] em campanhas de espionagem economica de longo prazo; e o [[g0096-apt41|APT41]] combinando espionagem patrocinada por estado com operações de crime cibernetico financeiramente motivado. A existencia de variantes Linux do Derusbi expande significativamente o alcance potencial do malware para servidores e infraestrutura corporativa baseada em Unix - um vetor importante dado que servidores Linux frequentemente hospedam dados mais sensiveis e tem menor cobertura de segurança de endpoint do que estacoes de trabalho Windows em muitas organizacoes. A capacidade de captura de audio representa uma ameaça particular para ambientes governamentais e executivos com informações confidenciais. **Plataformas:** Windows, Linux ## Como Funciona O Derusbi implementa um conjunto abrangente de capacidades de espionagem. Após implantação via injecao de DLL através do Regsvr32 ([[t1218-010-regsvr32|T1218.010]]), o malware executa reconhecimento do sistema, captura de tela e audio, keylogging e manipulação de arquivos. A comunicação C2 usa portas TCP nao padrao ([[t1571-non-standard-port|T1571]]) com criptografia simetrica ([[t1573-001-symmetric-cryptography|T1573.001]]) para proteger o trafego. O Derusbi suporta canais de fallback ([[t1008-fallback-channels|T1008]]) para manter conectividade quando servidores C2 primarios sao bloqueados - caracteristica de ferramentas projetadas para operações de longa duracao. O timestomping ([[t1070-006-timestomp|T1070.006]]) e a delecao de arquivos ([[t1070-004-file-deletion|T1070.004]]) sao usados para dificultar análise forense pos-compromisso. ## Attack Flow Derusbi ```mermaid graph TB A["Acesso inicial<br/>Spear-phishing ou<br/>exploração de servico exposto"] --> B["Implantação via Regsvr32<br/>T1218.010 - DLL injection<br/>Processo legitimo como host"] B --> C["Reconhecimento completo<br/>Sistema usuario arquivos<br/>T1082 / T1033 / T1083"] C --> D["Coleta de dados<br/>Keylog + Screen + Audio<br/>T1056.001 / T1113 / T1123"] D --> E["C2 porta nao padrao<br/>Criptografia simetrica<br/>Fallback channels T1008"] E --> F["Persistência longa<br/>Timestomp encobre rastros<br/>Operação de anos de duracao"] classDef initial fill:#dc2626,color:#fff classDef implant fill:#ea580c,color:#fff classDef recon fill:#3b82f6,color:#fff classDef collect fill:#7c3aed,color:#fff classDef c2 fill:#ca8a04,color:#000 classDef persist fill:#16a34a,color:#fff class A initial class B implant class C recon class D collect class E c2 class F persist ``` ## Linha do Tempo ```timeline 2010-2011 : Primeiras amostras Derusbi identificadas : Deep Panda usa em campanhas EUA 2014 : Violação OPM linkada ao Deep Panda : Derusbi identificado na intrusão 2017-2018 : Leviathan TEMP.Periscope maritimo : Alvos defesa e governo Asia-Pacifico 2018 : Axiom usa Derusbi espionagem economica : Multiplos paises alvejados 2019-2020 : APT41 incorpora Derusbi : Combinacao espionagem e crime financeiro Atual : Variantes Linux identificadas : Plataforma ainda em uso ativo ``` ## TTPs - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1113-screen-capture|T1113 - Screen Capture]] ## Grupos que Usam - [[g0065-leviathan|Leviathan]] - [[g0009-deep-panda|Deep Panda]] - [[g0001-axiom|Axiom]] - [[g0096-apt41|APT41]] ## Relevância LATAM/Brasil Os grupos que utilizam o Derusbi - especialmente [[g0096-apt41|APT41]] e [[g0065-leviathan|Leviathan]] - tem interesse documentado em propriedade intelectual, segredos comerciais e dados governamentais de alto valor. Para o Brasil, com sua industria de defesa (Embraer, Taurus), setor de energia (Petrobras), tecnologia agropecuaria (EMBRAPA) e governo digital em expansao, o risco de espionagem por APTs chineses e real e crescente. O Brasil tem relacoes economicas e diplomaticas profundas com a China - o maior parceiro comercial brasileiro ha mais de uma decada - criando tanto motivacao para cooperação quanto para operações de inteligência economica. Organizacoes brasileiras com tecnologia proprietaria de valor estratégico, especialmente nos setores de defesa, energia, agricultura e tecnologia, devem monitorar indicadores do Derusbi e grupos associados como parte de seu programa de inteligência de ameaças. ## Detecção - Monitorar injecao de DLL via Regsvr32 em processos legitimos ([[t1218-010-regsvr32|T1218.010]]) - Detectar comúnicacoes em portas TCP nao padrao de processos do sistema ([[t1571-non-standard-port|T1571]]) - Alertar sobre acesso a dispositivos de audio por processos nao relacionados a multimidia ([[t1123-audio-capture|T1123]]) - Identificar modificacoes de timestamps de arquivos (timestomping) em sistemas comprometidos ([[t1070-006-timestomp|T1070.006]]) - Monitorar canais de fallback - múltiplas tentativas de conexão a servidores C2 alternativos ([[t1008-fallback-channels|T1008]]) - Em ambientes Linux: monitorar carregamento de módulos de kernel nao reconhecidos (variantes Linux do Derusbi usam driver de kernel) ## Referências - [1](https://attack.mitre.org/software/S0021) MITRE ATT&CK - S0021 Derusbi (2024) - [2](https://www.crowdstrike.com/blog/deep-panda-web-shells/) CrowdStrike - Deep Panda Web Shells (2014) - [3](https://www.secureworks.com/research/wekby-attacking-health-and-other-sectors) SecureWorks - Wekby Attacking Health and Other Sectors (2015) - [4](https://attack.mitre.org/groups/G0004) MITRE ATT&CK - G0004 Leviathan (2024) - [5](https://attack.mitre.org/groups/G0096) MITRE ATT&CK - G0096 APT41 (2024)