# Winnti for Linux > Tipo: **malware** · S0430 · [MITRE ATT&CK](https://attack.mitre.org/software/S0430) ## Descrição [[s0430-winnti-for-linux|Winnti for Linux]] é um trojan observado desde pelo menos 2015, projetado específicamente para atacar sistemas Linux em operações de espionagem e crime cibernético. A família de malware Winnti é compartilhada por diversos atores de ameaça chineses, incluindo [[g0096-apt41|APT41]], [[g1006-earth-lusca|Earth Lusca]] e [[g0143-aquatic-panda|Aquatic Panda]], demonstrando um modelo de compartilhamento de ferramentas entre grupos APT vinculados ao estado chinês. A variante para Windows é rastreada separadamente como [[s0141-winnti-for-windows|Winnti for Windows]]. Do ponto de vista técnico, o Winnti for Linux implementa funcionalidade de rootkit para ocultar sua presença no sistema comprometido, utiliza traffic signaling (port-knocking) para aceitar conexões apenas de operadores autorizados, e comúnica-se via protocolos de camada não-aplicação além de HTTP padrão para dificultar a detecção. O malware usa criptografia simétrica para proteger suas comúnicações e é carregado como módulo do kernel ou como biblioteca dinâmica, garantindo persistência profunda no sistema Linux. O targeting de sistemas Linux pela família Winnti é especialmente relevante dado que servidores Linux são amplamente utilizados em ambientes corporativos e de telecomúnicações. O [[g0096-apt41|APT41]], que combina espionagem patrocinada pelo estado com crime cibernético financeiro, utilizou o Winnti for Linux em campanhas contra empresas de telecomúnicações, tecnologia e saúde em múltiplos países. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1205-traffic-signaling|T1205 - Traffic Signaling]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1014-rootkit|T1014 - Rootkit]] ## Grupos que Usam - [[g1006-earth-lusca|Earth Lusca]] - [[g0096-apt41|APT41]] - [[g0143-aquatic-panda|Aquatic Panda]] ## Detecção A detecção do Winnti for Linux requer monitoramento especializado: verificação de módulos do kernel carregados não documentados, análise de bibliotecas dinâmicas injetadas em processos, e monitoramento de tráfego de rede para padrões de port-knocking e comúnicações em protocolos não convencionais. Ferramentas como rkhunter e chkrootkit podem identificar a presença do rootkit. Soluções EDR com suporte a Linux e monitoramento de chamadas de sistema via eBPF são as mais eficazes para detectar atividade do Winnti. ## Relevância LATAM/Brasil Empresas de telecomúnicações, tecnologia e saúde brasileiras - setores prioritariamente visados pelo [[g0096-apt41|APT41]] - são potenciais alvos de comprometimento via Winnti for Linux, especialmente aquelas com operações internacionais ou parceiros na Ásia. O [[g0096-apt41|APT41]] combina espionagem com motivação financeira (extorsão, roubo de propriedade intelectual), tornando-o relevante para análise de risco em empresas brasileiras de alto valor. A infraestrutura de servidores Linux no Brasil deve incluir monitoramento de integridade e detecção de rootkits como parte da estratégia de segurança. ## Referências - [MITRE ATT&CK - S0430](https://attack.mitre.org/software/S0430)