# httpclient > Tipo: **malware** · S0068 · [MITRE ATT&CK](https://attack.mitre.org/software/S0068) ## Descrição [[s0068-httpclient|httpclient]] é um malware simples utilizado pelo grupo de espionagem chinês [[g0024-putter-panda|Putter Panda]] (também conhecido como APT2 ou MSUpdater), atribuído ao Unidade 61486 do PLA (Exército de Libertação Popular da China). Descoberto pela CrowdStrike em 2014, o httpclient se destaca pela sua simplicidade - funcionalidades limitadas que se encaixam no papel de ferramenta de segundo estágio ou backdoor de backup, implantada após comprometimento inicial para garantir redundância de acesso caso o implante primário sejá detectado e removido. O malware implementa comunicação C2 via HTTP/S usando protocolos web padrão, tornando o tráfego difícil de distinguir de comunicação legítima em ambientes sem inspeção profunda de tráfego. Sua criptografia simétrica protege o conteúdo das comúnicações. O httpclient suporta execução de comandos de shell, permitindo ao operador executar qualquer ação disponível via linha de comando no sistema comprometido - upload/download de arquivos, execução de ferramentas adicionais e reconhecimento do ambiente. A estratégia do [[g0024-putter-panda|Putter Panda]] de usar múltiplos implantes com diferentes complexidades - um primário mais sofisticado e um secundário como httpclient - é característica de grupos APT experientes que entendem que detecção é eventualmente provável e planejam para manutenção de acesso a longo prazo. O httpclient serve como "plano B" para reconexão após remoção do implante primário. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Grupos que Usam - [[g0024-putter-panda|Putter Panda]] ## Detecção A detecção do httpclient é desafiadora por usar HTTP/S padrão. Inspeção de conteúdo HTTP (SSL inspection) para identificar padrões de requisição não-padrão - headers incomuns, User-Agent strings suspeitas ou padrões de dados incomuns em POST requests - é a abordagem mais eficaz. Correlação de processos que fazem conexões HTTP mas não são navegadores conhecidos ajuda a identificar malware usando HTTP para C2. Análise comportamental que detecta o mesmo processo alternando entre idle e burst de atividade de rede em intervalos regulares pode indicar beacon de C2. ## Relevância LATAM/Brasil O [[g0024-putter-panda|Putter Panda]] tem foco histórico em alvos norte-americanos de defesa e aeroespacial, com menor atividade documentada no Brasil. Contudo, a técnica de backdoor HTTP simples como segundo estágio é universalmente utilizada por grupos de espionagem e crime cibernético que operam no Brasil. A defesa eficaz contra esse padrão requer inspeção SSL/TLS e análise comportamental de tráfego de rede - não apenas bloqueio de IoCs específicos do httpclient. ## Referências - [MITRE ATT&CK - S0068](https://attack.mitre.org/software/S0068) - [CrowdStrike - Putter Panda Report](https://cdn0.vox-cdn.com/uploads/chorus_asset/file/695805/crowdstrike-intelligence-report-putter-panda.original.pdf)