# HDoor > [!medium] Ferramenta de reconhecimento lateral customizada pelo Naikon para mapeamento de redes internas > HDoor é uma variante customizada de uma ferramenta de scan de rede derivada de código do Honker Union, um coletivo hacker chinês. Utilizada pelo **Naikon** (APT30) como ferramenta de reconhecimento em redes de alvos governamentais do Sudeste Asiático após comprometimento inicial. ## Visão Geral HDoor é uma ferramenta de reconhecimento e movimento lateral customizada pelo [[g0019-naikon|Naikon]] (APT30), grupo de espionagem cibernética associado ao Exército de Libertação Popular da China (PLA), ativo desde pelo menos 2010 com foco em governos e entidades militares do Sudeste Asiático. A ferramenta é baseada em código da Honker Union, uma comunidade de hackers chineses de uso público, que o [[g0019-naikon|Naikon]] adaptou e customizou para suas operações de espionagem governamental. O [[g0019-naikon|Naikon]] é um dos grupos APT mais persistentes do Sudeste Asiático. Suas campanhas documentadas visaram pelo menos dez países da região - incluindo Filipinas, Malásia, Camboja, Indonésia, Vietnam, Myanmar, Singapura e Nepal - com foco em ministérios de relações exteriores, forças armadas, organizações civis e governamentais. O relatório Kaspersky de 2015 "The Naikon APT" forneceu a análise mais completa das operações do grupo. O HDoor atua como ferramenta de segundo estágio - implantada após o acesso inicial via spearphishing para mapear a rede interna da vítima antes de movimentação lateral adicional. Sua capacidade de matar processos de antivírus ([[t1562-001-disable-or-modify-tools|T1562.001]]) garante que as varreduras de rede internas não sejam bloqueadas por soluções de segurança endpoint. O Kaspersky documentou que o operador do Naikon executava o HDoor com o parâmetro `-hbs scan` para identificar hosts ativos na rede local da vítima. ## Como Funciona ```mermaid graph TB A["🎯 Acesso inicial<br/>Spearphishing Naikon"] --> B["🔨 Backdoor primário<br/>Naikon RAT / xsControl"] B --> C["📦 Deploy HDoor<br/>Ferramenta de reconhecimento"] C --> D["🛡️ Desativa AV<br/>Kill processos segurança"] D --> E["🔍 Scan de rede<br/>hdoor -hbs 192.168.x.x"] E --> F["📊 Mapa de rede<br/>Hosts, portas, serviços"] F --> G["🚀 Movimento lateral<br/>Ataque a novos sistemas mapeados"] ``` ## Capacidades Documentadas Com base na análise da Kaspersky (2015), o HDoor é descrito como ferramenta de reconhecimento robusta com as seguintes capacidades: | Categoria | Funcionalidade | |-----------|---------------| | **Reconhecimento** | Scan de hosts, usuários, grupos e recursos de autenticação | | **Rede** | Scan de portas abertas, identificação de bancos SQL, roteadores e dispositivos de rede | | **Serviços** | Listener fake para sniffing de tráfego de rede | | **Sistema** | Gerenciamento de processos, modificação de timestamps | | **Destrutivo** | Disk wiping - deleção segura com múltiplas sobrescritas | | **SQL** | Toolset de administração de banco de dados SQL | | **Segurança** | Terminação de processos de antivírus detectados | ## Detecção e Defesa **Indicadores de comprometimento por HDoor:** - Execução de scan de portas interno originado de estações de trabalho ou servidores não designados para operações de rede - Tentativas de terminar processos de segurança endpoint por processo de terceiros - Execução de linha de comando com parâmetros de scan de rede (`-hscan`, `-hbs`) por processos não relacionados a gerenciamento de TI **Detecção comportamental:** - **Sysmon Event ID 1:** Processos com argumentos de scan de IP range (ex: `192.168.0.1-192.168.0.254`) - **EDR:** Tentativas de OpenProcess/TerminateProcess em processos de AV/EDR por aplicações não privilegiadas - **NDR:** Tráfego de scan horizontal (ICMP sweep + TCP SYN para múltiplas portas) originado de único host interno ## Relevância LATAM/Brasil O [[g0019-naikon|Naikon]] foca primariamente em governos do Sudeste Asiático, mas suas técnicas de reconhecimento lateral são amplamente adotadas por grupos que operam na América Latina. O uso de ferramentas públicas customizadas (Living Off Trusted Tools) para reconhecimento interno é uma característica comum de grupos APT-LATAM como [[g1028-apt-c-23|APT-C-23]] e [[g0099-blind-eagle-apt-c-36|Blind Eagle]]. Organizações brasileiras de governo com conexões diplomáticas ao Sudeste Asiático e Pacífico são potencialmente expostas a grupo Naikon. ## Referências - [MITRE ATT&CK - S0061](https://attack.mitre.org/software/S0061) - [Kaspersky - The Naikon APT](https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07205555/TheNaikonAPT-MsnMM1.pdf) - 2015