# ShadowPad > Tipo: **malware** · S0596 · [MITRE ATT&CK](https://attack.mitre.org/software/S0596) ## Cadeia de Infecção ```mermaid graph TB A["📧 Supply chain / Spearphishing<br/>Software legítimo comprometido<br/>NetSarang / SolarWinds padrão"] --> B["💥 DLL sideloading<br/>Payload fileless T1027.011<br/>Deobfuscação T1140"] B --> C["🔧 ShadowPad core<br/>Registry fileless storage<br/>Indicator removal T1070"] C --> D["🔍 Plugins modulares<br/>Process discovery T1057<br/>System recon T1033"] D --> E["📡 C2 multi-protocolo<br/>DNS T1071.004<br/>Non-standard encoding T1132.002"] E --> F["💀 Espionagem CNE<br/>Exfiltração agendada T1029<br/>APT persistência APT"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exploit class C install class D recon class E c2 class F impact ``` ## Descrição [[s0596-shadowpad|ShadowPad]] é um backdoor modular de alto nível identificado pela primeira vez em julho de 2017 em um comprometimento da cadeia de suprimentos do software NetSarang - pacote de software amplamente utilizado em ambientes corporativos para gerenciamento de servidores. O incidente expôs centenas de organizações ao malware antes que a backdoor fosse descoberta. Originalmente acreditava-se que era utilizado exclusivamente pelo [[g0096-apt41|APT41]], mas desde então foi observado em uso por pelo menos oito grupos de ameaça chineses distintos, tornando-o uma plataforma de espionagem compartilhada no ecossistema chinês. A arquitetura modular do [[s0596-shadowpad|ShadowPad]] é sua principal característica técnica: o core do malware fornece capacidades básicas de comunicação C2 e gerenciamento de plugins, enquanto funcionalidades específicas - como keylogging, captura de tela, acesso a banco de dados ou roubo de credenciais - são entregues como módulos separados carregados dinâmicamente. O armazenamento fileless ([[t1027-011-fileless-storage|T1027.011]]) mantém os módulos e a configuração criptografados no registro do Windows, dificultando significativamente a detecção por soluções baseadas em arquivos. A amplitude de grupos que utilizam o [[s0596-shadowpad|ShadowPad]] - incluindo [[g0096-apt41|APT41]], [[g0129-mustang-panda|Mustang Panda]], [[g1006-earth-lusca|Earth Lusca]] e outros - sugere que o malware é desenvolvido por uma entidade central (possívelmente um contratante do governo chinês) e licenciado ou compartilhado com múltiplos grupos. Essa centralização de desenvolvimento resulta em constante evolução e sofisticação crescente, com novas variantes sendo regularmente observadas incorporando técnicas de evasão mais avançadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1070-indicator-removal|T1070 - Indicator Removal]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1029-scheduled-transfer|T1029 - Scheduled Transfer]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1132-002-non-standard-encoding|T1132.002 - Non-Standard Encoding]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g0129-mustang-panda|Mustang Panda]] - [[g1042-redecho|RedEcho]] - [[g0081-tropic-trooper|Tropic Trooper]] - [[g0131-tonto-team|Tonto Team]] - [[g0096-apt41|APT41]] - [[g0143-aquatic-panda|Aquatic Panda]] - [[g1006-earth-lusca|Earth Lusca]] - [[g0060-bronze-butler|BRONZE BUTLER]] ## Detecção - Implementar monitoramento de registro do Windows para valores com alta entropia em chaves incomuns (possível armazenamento fileless de payload) - Monitorar software de gestão de TI (como NetSarang, SolarWinds, Kaseya) como vetores de supply chain - Detectar comúnicações DNS com padrões de subdomínios longos ou alta entropia (possível C2 via DNS) - Auditar módulos carregados por processos legítimos para identificar DLLs incomuns em memória - Implementar Threat Intelligence Feed com IoCs de ShadowPad públicados por Kaspersky, SentinelOne e outros vendors ## Relevância LATAM/Brasil O [[s0596-shadowpad|ShadowPad]] representa uma das ameaças de espionagem mais graves para organizações brasileiras estratégicas, dado que é utilizado por múltiplos grupos chineses com interesse em infraestrutura crítica e propriedade intelectual. Empresas brasileiras de energia (Petrobras, Eletrobras), telecomúnicações e defesa, bem como softwares de gestão amplamente usados no Brasil, são vetores e alvos potenciais de campanhas usando ShadowPad. O precedente da cadeia de suprimentos NetSarang é um alerta direto para organizações que dependem de software de gestão remota de servidores. ## Referências - [MITRE ATT&CK - S0596](https://attack.mitre.org/software/S0596)