# HTTPDoor > [!danger] Resumo > Backdoor do [[g0006-apt1|APT1]] (Comment Crew / PLA Unit 61398) que oculta comandos C2 dentro de comentarios HTML de paginas web legitimas - técnica WEBC2. Exposto públicamente no relatorio Mandiant de fevereiro de 2013, um dos documentos mais influentes da historia da CTI, que atribuiu públicamente ao grupo chines de espionagem cibernetica do Exercito de Liberacao Popular mais de 1.000 TTPs ao longo de 7 anos de operação contra 141 vitimas em 20 paises. ## Visão Geral O [[s0221-httpdoor|HTTPDoor]] e um backdoor para Windows desenvolvido e operado pelo [[g0006-apt1|APT1]] (também conhecido como Comment Crew, Shady RAT operator, ou Byzantine Candor) - grupo de espionagem cibernetica atribuido pela Mandiant em 2013 a Unidade 61398 do Exercito de Liberacao Popular da China (PLA), sediada em Pudong, Shangai. A técnica central do [[s0221-httpdoor|HTTPDoor]] e o padrao WEBC2: em vez de se comúnicar diretamente com um servidor C2 via protocolo proprietario, o malware faz requisicoes HTTP para paginas web aparentemente legitimas e extrai comandos ocultos nos comentarios HTML da pagina (`<!-- COMANDO -->`). Esta abordagem e sofisticada porque o trafego parece requisicoes web normais - o implante esta "navegando" em websites, nao comúnicando com C2 malicioso. Sem inspecao de conteudo HTTP, o trafego e invisivel. O [[g0006-apt1|APT1]] operou em escala industrial entre 2006 e 2013: a Mandiant documentou comprometimento de 141 empresas em 20 paises, permanecendo em redes de vitimas por uma media de 356 dias (máximo: 4 anos e 10 meses). O grupo focou em setores estratégicos - energia, telecomúnicacoes, aeroespacial, defesa, financeiro e tecnologia. A técnica WEBC2 usada pelo HTTPDoor foi projetada específicamente para operar em ambientes corporativos com proxies web, onde trafego HTTP/HTTPS e esperado. Após a públicacao do relatorio Mandiant "APT1: Exposing One of China's Cyber Espionage Units" em fevereiro de 2013, o [[g0006-apt1|APT1]] suspendeu operações temporariamente, re-emergindo com infraestrutura renovada e TTPs modificadas meses depois. O HTTPDoor foi descontinuado como ferramenta primaria após a exposicao pública. **Plataformas:** Windows ## Como Funciona 1. **Acesso inicial**: Spearphishing com documento Word malicioso ou PDF explorando vulnerabilidades de leitor; entrega por e-mails meticulosamente pesquisados usando nomes de contatos reais da organização alvo 2. **Instalacao**: HTTPDoor instalado como servico Windows ou via chave de registro autorun; persiste sem visibilidade de usuario 3. **Comúnicação WEBC2**: A cada intervalo programado, faz requisicao HTTP GET para pagina web pre-configurada (aparenta ser navegacao normal) 4. **Extração de comandos**: Parser HTML extrai comandos ocultos em comentarios `<!-- -->` da pagina retornada 5. **Execução**: Comandos via `cmd.exe`: enumeracao de arquivos/diretorios, coleta de informações do sistema, download de ferramentas adicionais 6. **Exfiltração**: Resultados enviados via HTTP POST com dados codificados em Base64 e criptografados ## Attack Flow - HTTPDoor ```mermaid graph TB A["Spearphishing APT1<br/>E-mail com documento<br/>usando nome de contato real"] --> B["Instalacao Backdoor<br/>Servico Windows ou<br/>chave Run no registro"] B --> C["Comúnicação WEBC2<br/>HTTP GET para pagina<br/>web com comentarios HTML"] C --> D["Extração de Comandos<br/>Parser HTML extrai<br/>comandos de comentarios"] D --> E["Execução cmd.exe<br/>Enumeracao de arquivos,<br/>diretorios e sistema"] E --> F["Reconhecimento Interno<br/>Mapeamento de rede,<br/>identificação de ativos criticos"] F --> G["Exfiltração<br/>HTTP POST Base64<br/>com dados comprimidos"] ``` ## Timeline de Atividade ```mermaid timeline title HTTPDoor / APT1 - Historico 2006 : APT1 inicia operacoes documentadas contra alvos EUA 2010 : Operation ShadyRAT - HTTPDoor usado em comprometimento de 72 organizacoes 2012 : HTTPDoor (S0221) ativo em campanhas de espionagem industrial 2013-02 : Mandiant publica APT1 Report - primeira atribuicao publica a PLA Unit 61398 2013-02 : APT1 suspende operacoes temporariamente pos-exposicao 2013-05 : APT1 retorna com infraestrutura renovada e TTPs modificados 2014 : EUA indicia 5 oficiais PLA por espionagem cibernetica 2015 : Acordo Obama-Xi sobre reducao de espionagem economica cibernetica ``` ## TTPs - HTTPDoor | Tática | Técnica | Descrição | |--------|---------|-----------|| | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP como canal C2 - aparenta trafego web normal | | C2 | [[t1001-001-junk-data\|T1001.001]] | Comandos ocultos em comentarios HTML (WEBC2) | | C2 | [[t1132-001-standard-encoding\|T1132.001]] | Dados codificados em Base64 nas comúnicacoes | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | Criptografia simetrica nos dados exfiltrados | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Comandos via cmd.exe no sistema comprometido | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta de info de hardware, SO e usuarios | | Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de arquivos e estrutura de diretorios | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais do C2 | ## Relevância LATAM/Brasil O [[g0006-apt1|APT1]] / Comment Crew focou primariamente em alvos norte-americanos e europeus para roubo de propriedade intelectual industrial e militar. No entanto, a técnica WEBC2 usada pelo HTTPDoor - ocultar comúnicacoes C2 em comentarios HTML de paginas web - e amplamente imitada por outros grupos de espionagem que operam na América Latina. O relatorio Mandiant de 2013 tornou-se um marco historico na CTI global por demonstrar o poder da atribuicao baseada em evidências. Para o Brasil, a relevância e dupla: (1) empresas brasileiras com operações nos EUA ou parceiras de contratantes de defesa americanos eram potenciais alvos colaterais; (2) a técnica WEBC2 continua sendo usada por grupos de espionagem que visam o setor de energia, aeroespacial (Embraer) e governamental brasileiro. Organizacoes que nao realizam inspecao de conteudo HTTP/HTTPS em trafego de saida sao especialmente vulneraveis a backdoors da familia WEBC2. O setor de defesa e energetico brasileiro - com acesso a propriedade intelectual estratégica - e alvo do mesmo perfil de espionagem estatal que o APT1 perseguiu no ocidente. ## Detecção > [!tip] Indicadores de Detecção > - Inspecao de conteudo HTTP: detectar respostas HTTP contendo comentarios HTML com estrutura de comando (`<!-- [CMD]: ... -->`) > - Monitorar processos de sistema que fazem requisicoes HTTP/HTTPS sem ser navegadores ou aplicativos de rede conhecidos > - Alertar sobre servicos Windows desconhecidos instalados fora de `C:\Windows\System32` > - Regras YARA e IoCs específicos públicados pela Mandiant no relatorio APT1 de 2013 (ainda relevantes para detecção retroativa) > - Monitorar `cmd.exe` sendo invocado por processos de servico Windows sem interface grafica ## Referências - [1](https://attack.mitre.org/software/S0221/) MITRE ATT&CK - HTTPDoor S0221 (2024) - [2](https://www.mandiant.com/resources/apt1-exposing-one-of-chinas-cyber-espionage-units) Mandiant - APT1: Exposing One of China's Cyber Espionage Units (2013) - [3](https://www.mandiant.com/resources/apt1-exposing-one-of-chinas-cyber-espionage-units-appendix) Mandiant - APT1 Report Appendix: Indicators of Compromise (2013) - [4](https://www.justice.gov/opa/pr/us-charges-five-chinese-military-hackers-cyber-espionage-against-us-corporations-and-labor) DOJ - EUA Indicia 5 Militares Chineses por Espionagem Cibernetica (2014) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.httpdoor) Malpedia - HTTPDoor Family (2024) - [6](https://securityaffairs.com/13104/cyber-crime/operation-shadyrat-hit-72-organizations-in-14-countries.html) Security Affairs - Operation ShadyRAT: 72 Organizacoes Comprometidas (2011)