g0126-higaisa - RunkIntel

# Higaisa > [!warning] **Higaisa** é um grupo de ameaça atribuído a **China**. ## Descrição Higaisa é um grupo de ameaças com suspeita de origem sul-coreana. O grupo tem como alvos organizações governamentais, públicas e comerciais na Coreia do Norte; contudo, também realizou ataques na China, Jápão, Rússia, Polônia e outros países. O Higaisa foi divulgado públicamente no início de 2019, mas estima-se que estejá em operação desde pelo menos 2009. ## Técnicas Utilizadas - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1106-native-api|T1106 - Native API]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1001-003-protocol-or-service-impersonation|T1001.003 - Protocol or Service Impersonation]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1029-scheduled-transfer|T1029 - Scheduled Transfer]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1027-001-binary-padding|T1027.001 - Binary Padding]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1220-xsl-script-processing|T1220 - XSL Script Processing]] - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] ## Software Utilizado - [[s0013-plugx|PlugX]] - [[s0160-certutil|certutil]] - [[gh0st-rat|gh0st RAT]] ## Relevância para o Brasil e LATAM > [!info] Espionagem Cross-Border Asiática > Embora Higaisa sejá primariamente focado em Coreia do Norte, sua operação em **múltiplos países** (China, Jápão, Rússia, Polônia) demonstra flexibilidade geográfica. Organizações brasileiras com operações em Ásia (tradings, tecnologia, manufatura) podem ser incidentemente alvos de reconhecimento. O uso sofisticado de DLL side-loading e PlugX RAT o torna distinto de operadores criminosos LATAM. A sofisticação técnica sugere patrocínio estatal sul-coreano ou grupo técnicamente avançado. Empresas brasileiras com presença na Ásia devem exercer cautela com documentos Office de origem asiática desconhecida e monitorar carga anômala de DLLs em sistemas críticos. --- *Fonte: [MITRE ATT&CK - G0126](https://attack.mitre.org/groups/G0126)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.