# ASPXSpy > Tipo: **malware** · S0073 · [MITRE ATT&CK](https://attack.mitre.org/software/S0073) ## Descrição [[s0073-aspxspy|ASPXSpy]] é um Web shell amplamente utilizado por múltiplos grupos de ameaça avançada, incluindo [[g0096-apt41|APT41]], [[g0125-silk-typhoon|HAFNIUM]], [[g0027-threat-group-3390|Threat Group-3390]], [[g0087-apt39|APT39]] e [[g1030-agrius|Agrius]]. O [[g0027-threat-group-3390|Threat Group-3390]] modificou o ASPXSpy original para criar a variante ASPXTool, demonstrando a prática comum de adaptar ferramentas de código aberto para uso em operações de espionagem. A presença de tantos grupos distintos usando a mesma ferramenta reflete sua eficiência como backdoor persistente em servidores web comprometidos. O ASPXSpy implementa [[t1505-003-web-shell|T1505.003 - Web Shell]], instalando-se em servidores IIS comprometidos para fornecer acesso shell remoto persistente. Uma vez implantado, permite execução de comandos, upload/download de arquivos e enumeração do ambiente sem necessidade de ferramentas adicionais. Sua natureza de arquivo ASPX legítimo o torna difícil de detectar entre o conteúdo normal de servidores web. Grupos como o [[g0125-silk-typhoon|HAFNIUM]] o utilizaram extensivamente após exploração de vulnerabilidades no Microsoft Exchange. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1505-003-web-shell|T1505.003 - Web Shell]] ## Grupos que Usam - [[g0096-apt41|APT41]] - [[g0125-silk-typhoon|HAFNIUM]] - [[g0027-threat-group-3390|Threat Group-3390]] - [[g0087-apt39|APT39]] - [[g1030-agrius|Agrius]] ## Referências - [MITRE ATT&CK - S0073](https://attack.mitre.org/software/S0073)