# RAPIDPULSE > Tipo: **malware** · S1113 · [MITRE ATT&CK](https://attack.mitre.org/software/S1113) ## Descrição [[s1113-rapidpulse|RAPIDPULSE]] é uma web shell que existe como modificação maliciosa de um arquivo legítimo do Pulse Secure (Ivanti Pulse Connect Secure), utilizada pelo [[g1023-apt5|APT5]] (também rastreado como MANGANESE e Bronze Fleetwood) desde pelo menos 2021. O [[g1023-apt5|APT5]] é um grupo de espionagem com nexo à China que tem como alvo organizações no setor de telecomúnicações, tecnologia e defesa. O RAPIDPULSE aproveita vulnerabilidades em appliances Pulse Secure para ser implantado como uma modificação de arquivos CGI legítimos do sistema, tornando-o extremamente difícil de detectar via inspeção de arquivos - a web shell se disfarça como parte do código legítimo do produto. Suas capacidades incluem decodificação e execução de dados enviados pelo atacante ([[t1140-deobfuscatedecode-files-or-information|T1140]]), leitura de arquivos locais do sistema ([[t1005-data-from-local-system|T1005]]), e operação como web shell persistente ([[t1505-003-web-shell|T1505.003]]) que aguarda comandos via requisições HTTP. A CISA e o FBI emitiram alertas em 2021 sobre a exploração ativa de vulnerabilidades em appliances Pulse Secure pelo [[g1023-apt5|APT5]], incluindo o uso do RAPIDPULSE para manter acesso persistente mesmo após atualizações de segurança. A técnica de modificar arquivos legítimos ([[t1027-013-encryptedencoded-file|T1027.013]]) para incorporar funcionalidade maliciosa é representativa da sofisticação dos grupos APT chineses. **Plataformas:** Network Devices, Linux ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] ## Grupos que Usam - [[g1023-apt5|APT5]] ## Detecção A detecção do RAPIDPULSE requer verificação de integridade dos arquivos CGI em appliances Pulse Secure/Ivanti - comparação de hashes dos arquivos instalados contra versões oficiais. A Mandiant disponibilizou ferramentas de verificação de integridade específicas para o Pulse Secure após a campanha do APT5. Logs de acesso a arquivos CGI incomuns e requisições HTTP com parâmetros suspeitos também são indicadores relevantes. Organizações que usam Pulse Secure devem aplicar todas as patches disponíveis e verificar regularmente a integridade do sistema. ## Relevância LATAM/Brasil Appliances de VPN corporativa como o Pulse Secure/Ivanti são amplamente utilizados em grandes organizações brasileiras para acesso remoto seguro. A exploração de vulnerabilidades nesses dispositivos por grupos como o [[g1023-apt5|APT5]] representa uma ameaça real para empresas brasileiras nos setores de telecomúnicações, energia e tecnologia com presença de interesse estratégico. O modelo de ataque - comprometer VPN e implantar web shell persistente - é uma das principais preocupações para CISOs de grandes corporações e agências governamentais brasileiras. ## Referências - [MITRE ATT&CK - S1113](https://attack.mitre.org/software/S1113)