# DeathStalker > Tipo: **backdoor** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[deathstalker|DeathStalker]] é tanto o nome de um grupo de ameaça quanto da ferramenta principal associada a ele - um backdoor baseado em PowerShell também chamado de Powersing. Documentado pela Kaspersky em 2020, o grupo [[deathstalker|DeathStalker]] é caracterizado como um grupo mercenário de hack-for-hire (hacking por contrato), sem alinhamento claro com nenhum estado-nação, que vende seus serviços de espionagem cibernética ao maior ofertante. O grupo tem como alvo preferêncial pequenas e médias empresas nos setores financeiro e jurídico, fintechs, exchanges de criptomoedas e escritórios de advocacia. O backdoor [[deathstalker|DeathStalker]] (Powersing) utiliza serviços web legítimos - como Google Drive, YouTube, Twitter, Reddit e Imgur - como canais de comunicação C2, tornando o bloqueio da comunicação maliciosa extremamente difícil sem afetar serviços legítimos. O malware é distribuído via documentos LNK maliciosos em e-mails de spear-phishing, com ofuscação pesada do PowerShell para evasão de detecção. As capacidades incluem captura de tela, coleta de informações do sistema e execução de payloads adicionais. A abordagem hack-for-hire do grupo [[deathstalker|DeathStalker]] representa uma ameaça diferenciada: o alvo pode ser qualquer organização cujos concorrentes, opositores legais ou adversários comerciais estejam dispostos a pagar pelo serviço de espionagem. Para PMEs sem capacidade madura de segurança - o alvo preferêncial do grupo - a combinação de spear-phishing sofisticado com uso de serviços legítimos como C2 é especialmente difícil de detectar e defender. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1102-web-service|T1102 - Web Service]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[deathstalker|DeathStalker]] ## Detecção - Monitorar comúnicações de processos PowerShell com serviços legítimos (Google Drive, Twitter, Reddit) não iniciados pelo usuário ([[t1102-web-service|T1102]]) - Detectar execuções de PowerShell com alto grau de ofuscação ([[t1027-obfuscated-files-or-information|T1027]]) - Alertar sobre arquivos LNK com alvos PowerShell em e-mails recebidos ([[t1566-001-spearphishing-attachment|T1566.001]]) - Implementar análise de PowerShell com Script Block Logging para capturar comandos desofuscados ([[t1059-001-powershell|T1059.001]]) - Monitorar capturas de tela automáticas por processos em segundo plano ([[t1113-screen-capture|T1113]]) ## Relevância LATAM/Brasil O [[deathstalker|DeathStalker]] tem relevância especial para o Brasil pelo perfil de alvos: fintechs, escritórios de advocacia, gestoras de investimentos e PMEs do setor financeiro - exatamente os setores em maior crescimento no Brasil. O modelo hack-for-hire significa que qualquer concorrente ou adversário legal pode contratar o grupo para espionar empresas brasileiras. A Kaspersky documentou vítimas do DeathStalker em múltiplos países da América Latina, confirmando operações ativas na região. Empresas brasileiras com disputas comerciais ou jurídicas de alto valor devem incluir ameaças de espionagem mercenária em seus modelos de risco. ## Referências - [Kaspersky - DeathStalker Report](https://securelist.com/deathstalker-mercenary-triumviraté/97530/) - [MITRE ATT&CK - DeathStalker](https://attack.mitre.org/groups/G0135)