# BUBBLEWRAP > Tipo: **malware** · S0043 · [MITRE ATT&CK](https://attack.mitre.org/software/S0043) ## Descrição [[s0043-bubblewrap|BUBBLEWRAP]] é um backdoor de segunda fase repleto de funcionalidades, utilizado pelo grupo [[g0018-admin338|admin@338]] (vinculado a operações de espionagem de origem chinesa). É configurado para ser executado na inicialização do sistema e inclui funcionalidades para verificar, fazer upload e registrar plugins que podem ampliar ainda mais suas capacidades, tornando-o um framework extensível similar ao [[s0013-plugx|PlugX]]. Foi documentado pela FireEye em campanhas contra governos e think-tanks financeiros no sudeste asiático. O [[s0043-bubblewrap|BUBBLEWRAP]] comúnica-se com C2 via protocolos web padrão HTTP (T1071.001) e não-padrão de camada de rede (T1095 - Non-Application Layer Protocol), oferecendo canais de comunicação redundantes. Estabelece persistência configurando-se para execução automática no boot do sistema. A arquitetura de plugins permite ao operador adicionar capacidades como keylogging, captura de tela e exfiltração de arquivos sem modificar o núcleo do malware. O backdoor coleta informações do sistema (T1082) para criar um perfil completo da vítima antes de implantação de plugins específicos. A atribuição ao [[g0018-admin338|admin@338]] é baseada em sobreposições de infraestrutura e código com outras campanhas do grupo rastreadas pela FireEye e Mandiant. O grupo opera desde pelo menos 2012, focando em organizações governamentais, financeiras e de defesa na região Ásia-Pacífico. O uso de spear-phishing com documentos que exploram vulnerabilidades em Office e Adobe Reader como vetor de entrega inicial do [[s0043-bubblewrap|BUBBLEWRAP]] é uma característica recorrente documentada nas campanhas do grupo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Grupos que Usam - [[g0018-admin338|admin@338]] ## Detecção - **Sysmon Event ID 1** (Process Creation): monitorar processos configurados para execução automática via chaves de registro de startup que não fazem parte de software legítimo instalado - **Sysmon Event ID 3** (Network Connection): detectar tráfego de rede misturando HTTP padrão (T1071.001) com protocolos não-padrão de camada de rede (T1095) a partir do mesmo processo - **EDR**: alertar em carregamento dinâmico de plugins a partir de diretórios temporários ou de usuário por processos rodando como serviço; monitorar coleta de informações de sistema (T1082) por processos desconhecidos - **Referência Sigma**: `proc_creation_win_susp_reg_run_key_modification.yml` (Sigma HQ) para detecção de modificação de chaves de Run por executáveis não-assinados ## Relevância LATAM/Brasil O [[g0018-admin338|admin@338]] e grupos correlacionados de espionagem chinesa demonstraram interesse em organizações financeiras e governamentais na América Latina, alinhado com objetivos estratégicos de Pequim na região. O Brasil, como principal economia da América Latina e membro dos BRICS, é um alvo natural para espionagem econômica. As técnicas do [[s0043-bubblewrap|BUBBLEWRAP]] - especialmente comunicação C2 via protocolos web para evasão de proxies corporativos - são amplamente utilizadas em campanhas de espionagem documentadas contra organizações brasileiras. ## Referências - [MITRE ATT&CK - S0043](https://attack.mitre.org/software/S0043)