# DUSTPAN > Tipo: **dropper em memoria** · S1158 · [MITRE ATT&CK](https://attack.mitre.org/software/S1158/) · Utilizado por [[g0096-apt41|APT41]] desde 2021 ## Visão Geral [[s1158-dustpan|DUSTPAN]] e um dropper em memoria escrito em C/C++ desenvolvido e utilizado pelo [[g0096-apt41|APT41]] (também conhecido como Wicked Panda, Brass Typhoon, BARIUM), grupo APT chines que combina espionagem estatal com motivacoes financeiras. Primeiro documentado pela Mandiant em 2021 durante investigação de comprometimentos em redes de governos estaduais dos EUA, o DUSTPAN representa uma peca critica na cadeia de ataque do APT41: sua função e descriptografar e executar payloads embutidos diretamente em memoria, sem deixar rastros no disco. O DUSTPAN e consistente com o malware **StealthVector** documentado pelo Trend Micro em agosto de 2021 - ambos sao droppers em C++ que carregam shellcode em memoria. Em campanhas de 2023-2024 documentadas pela Mandiant ("APT41 Has Arisen From the DUST"), o DUSTPAN foi observado carregando específicamente o backdoor [[s0154-cobalt-strike|Cobalt Strike BEACON]] com payloads criptografados via algoritmo ChaCha20. A cadeia completa de ataque documentada em 2024 inclui: webshells [[antsword|ANTSWORD]] e BLUEBEAM para acesso inicial em servidores Apache Tomcat -> `certutil.exe` para download do DUSTPAN -> DUSTPAN descriptografa e carrega BEACON -> BEACON comúnica com C2 via Cloudflare Workers (para blend com trafego legitimo) -> implantação posterior de DUSTTRAP (framework de plugins multi-estagio) para operações hands-on-keyboard de longo prazo. **Plataformas:** Windows ## Como Funciona O DUSTPAN implementa uma execução em memoria minimal e evasiva: 1. **Download via certutil** - O [[g0096-apt41|APT41]] usa `certutil.exe` (ferramenta Windows legitima) executado via webshell para baixar o dropper DUSTPAN disfarado como binario Windows legitimo (ex: "Windows Defend") - técnica LOLBAS que dificulta detecção 2. **Mascaramento de identidade** - DUSTPAN e configurado com nomes que imitam recursos legitimos do Windows (`T1036.005`) para reduzir suspeitas em análise superficial 3. **Descriptografia ChaCha20** - O payload embutido e criptografado com ChaCha20; o DUSTPAN descriptografa em memoria sem gravar o payload descriptografado no disco (`T1140`) 4. **Injecao PE** - O payload descriptografado pode ser injetado em outro processo (`T1055.002`) ou executado como nova thread no proprio espaco de processo do DUSTPAN, dependendo da configuração 5. **Carregamento do BEACON** - O payload tipicamente e Cobalt Strike BEACON que, uma vez executado, comúnica com C2 via infraestrutura auto-gerenciada atras de Cloudflare ou via Cloudflare Workers (`T1102.001`) 6. **Instalacao como servico** - Para persistência, DUSTPAN pode ser instalado como servico Windows (`T1543.003`) ```mermaid graph TB A["Webshell ANTSWORD/BLUEBEAM<br/>Tomcat Apache comprometido"] --> B["certutil.exe executa<br/>Download DUSTPAN dropper"] B --> C["DUSTPAN mascarado<br/>como binario Windows"] C --> D["ChaCha20 decrypt<br/>Payload embutido em memoria"] D --> E["PE Injection<br/>em processo alvo"] E --> F["BEACON carregado<br/>Cobalt Strike C2"] F --> G["C2 via Cloudflare Workers<br/>Blend com trafego legitimo"] G --> H["Hands-on-keyboard<br/>DUSTTRAP implantado para ops longas"] ``` ## Timeline ```mermaid timeline title DUSTPAN - Historico de Uso pelo APT41 2021 : Primeiro uso documentado em redes estaduais EUA : Mandiant identifica DUSTPAN em intrusions via Log4Shell e USAHerds : Trend Micro documenta StealthVector como nome alternativo 2022 : Intrusions em governo EUA confirmadas com DUSTPAN como loader : DoJ mantém pressão com indiciamentos de membros APT41 2023 : APT41 DUST - webshells ANTSWORD BLUEBEAM em Tomcat ativo desde 2023 2024 : Mandiant publica "APT41 Has Arisen From the DUST" : Alvos: logistica, midia, tecnologia e automotivo Europa e Asia : DUSTPAN carregando BEACON via Cloudflare Workers : MITRE ATT&CK registra DUSTPAN como S1158 ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso | |--------|---------|-----| | Evasão | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Nome imita binario Windows legitimo | | Evasão | [[t1027-013-encryptedencoded-file\|T1027.013]] | Payload criptografado com ChaCha20 | | Evasão | [[t1027-009-embedded-payloads\|T1027.009]] | Payload embutido no PE do dropper | | Execução | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Descriptografia ChaCha20 em runtime | | Execução | [[t1055-002-portable-executable-injection\|T1055.002]] | Injecao de PE em processo alvo | | Persistência | [[t1543-003-windows-service\|T1543.003]] | Instalacao como servico Windows | | Persistência | [[t1574-002-dll-side-loading\|T1574.002]] | DLL sideloading observado em variantes | | C2 | [[t1071-001-web-protocols\|T1071.001]] | BEACON via HTTPS/Cloudflare Workers | | C2 | [[t1102-001-one-way-communication\|T1102.001]] | Cloudflare Workers como relay C2 | ## Relevância LATAM/Brasil O [[g0096-apt41|APT41]] tem historico documentado de ataques em setores de tecnologia, saúde, telecomúnicacoes e jogos em dezenas de paises. Para o Brasil: - **Setor de tecnologia e jogos**: O APT41 e conhecido por atacar empresas de video games para roubo de moeda virtual e código-fonte - empresas brasileiras do setor (XP, Nubank, empresas de gaming) sao potencialmente alvos - **Telecomúnicacoes**: Campanhas documentadas contra telecoms da Europa e Asia seguem padrao que poderia incluir operadoras brasileiras como Claro, Vivo, TIM - **Sector governamental**: Governo do Brasil, como economia emergente com dados sensiveis sobre negocios e politica externa, e alvo de interesse para espionagem estatal chinesa - **Supply chain**: O APT41 e especialista em ataques de supply chain - fornecedores de software e servicos para orgaos governamentais brasileiros podem ser vetores de entrada ## Detecção - **Certutil**: Monitorar uso de `certutil.exe` para download de arquivos externos, especialmente por processos filhos de servidores web (`T1105`) - **Memoria**: Detectar injecao de PE em processos nao-relacionados; monitorar criação de threads em processos legitimos com origem em código anonimo de memoria - **Rede**: Alertar sobre Cobalt Strike BEACON; detectar beacons periodicos para Cloudflare Workers (dominos workers.dev) de processos suspeitos - **Servico**: Monitorar criação de servicos Windows por processos nao-instaladores em caminhos incomuns - **YARA**: Regras baseadas na estrutura ChaCha20 e padroes de PE injection caracteristicos do DUSTPAN; disponiveis em repositorio Mandiant ## Referências - [MITRE ATT&CK - S1158 DUSTPAN](https://attack.mitre.org/software/S1158/) - [Mandiant - APT41 Has Arisen From the DUST (2024)](https://cloud.google.com/blog/topics/threat-intelligence/apt41-arisen-from-dust) - [Mandiant - APT41 Targeting US State Governments (2022)](https://cloud.google.com/blog/topics/threat-intelligence/apt41-us-state-governments) - [Picus Security - APT41 Full TTP Analysis (2025)](https://www.picussecurity.com/resource/blog/apt41-cyber-attacks-history-operations-and-full-ttp-analysis)