g0012-darkhotel - RunkIntel

# Darkhotel > [!warning] **Darkhotel**. ## Descrição Darkhotel é um grupo de ameaça supostamente sul-coreano que tem alvejado vítimas principalmente no Leste Asiático desde pelo menos 2004. O nome do grupo é baseado em operações de cyber espionagem conduzidas por meio de redes de Internet de hotéis contra executivos em viagem e outros hóspedes selecionados. Darkhotel também conduz campanhas de spear-phishing e infecta vítimas por meio de redes peer-to-peer e de compartilhamento de arquivos. **Também conhecido como:** Darkhotel, DUBNIUM, Zigzag Hail ### Attack Flow ## Técnicas Utilizadas - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1497-002-user-activity-based-checks|T1497.002 - User Activity Based Checks]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1080-taint-shared-content|T1080 - Taint Shared Content]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] ## Relevância para o Brasil e LATAM Darkhotel tem demonstrado interesse em executivos de empresas multinacionais e personalidades de alto perfil em viagem, incluindo aqueles baseados ou em trânsito por países da América Latina. A estratégia de exploração de redes de hotel, embora historicamente concentrada no Leste Asiático, expõe executivos e diplomatas brasileiros em viagens internacionais a risco significativo. As técnicas sofisticadas de evasão de sandbox e anti-análise do grupo permitem que campanhas de spear-phishing atinjam executivos com baixa detecção, tornando o Darkhotel relevante para organizações com operações LATAM que viajam com frequência. Recomenda-se implementar segmentação de rede em hotéis e restrições de acesso remoto para executivos em deslocamento. --- *Fonte: [MITRE ATT&CK - G0012](https://attack.mitre.org/groups/G0012)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.