s0109-webc2 - RunkIntel

# WEBC2 > Tipo: **malware** · S0109 · [MITRE ATT&CK](https://attack.mitre.org/software/S0109) ## Descrição [[s0109-webc2|WEBC2]] é uma família de backdoor utilizada pelo [[g0006-apt1|APT1]] (Comment Crew) - grupo APT chinês atribuído à Unidade 61398 do Exército de Libertação Popular - desde pelo menos julho de 2006. Os backdoors da família WEBC2 são projetados para recuperar uma página web de um servidor C2 predefinido, com comandos do atacante ocultos em comentários HTML ou tags especiais da página, técnica que disfarça o tráfego malicioso como navegação web legítima. Esta técnica de esteganografia em HTML - ocultando comandos em código web aparentemente normal - foi inovadora para sua época e reflete a sofisticação do [[g0006-apt1|APT1]] em desenvolver métodos de comunicação C2 difíceis de detectar por análise de tráfego de rede. O malware utiliza DLL hijacking para execução e fornece acesso remoto via shell Windows, permitindo ao operador executar comandos arbitrários no sistema comprometido. O WEBC2 ficou amplamente conhecido após o relatório Mandiant de 2013 que expôs as operações do APT1 em detalhes sem precedentes, sendo uma das primeiras atribuições públicas formais de ciberespionagem a um ator estatal. Embora a exposição tenha perturbado as operações do grupo, a técnica de C2 via conteúdo web embutido foi posteriormente adotada e adaptada por outros grupos APT. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1574-001-dll|T1574.001 - DLL]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Grupos que Usam - [[g0006-apt1|APT1]] ## Detecção A detecção do WEBC2 e técnicas similares de C2 via web requer análise de conteúdo de respostas HTTP/HTTPS em busca de comandos embutidos em comentários HTML ou atributos especiais. Monitoramento de conexões regulares a páginas web específicas (beaconing), especialmente em intervalos fixos, e análise de DLLs carregadas por processos incomuns são abordagens eficazes. Soluções de proxy com inspeção SSL são essenciais para visibilidade do tráfego web cifrado. ## Relevância LATAM/Brasil O [[g0006-apt1|APT1]] é historicamente focado em espionagem industrial e governamental nos EUA e aliados, mas as técnicas de C2 via conteúdo web que popularizou são amplamente utilizadas por outros grupos com interesses na América Latina. O Brasil, como maior economia da região, é alvo de múltiplos grupos APT que utilizam técnicas similares. A técnica de C2 via HTML embutido continua relevante como referência ao desenvolver regras de detecção de beacon em proxies e firewalls corporativos brasileiros. ## Referências - [MITRE ATT&CK - S0109](https://attack.mitre.org/software/S0109)