# DinDoor > [!high] Backdoor do DoNot Team com Foco em Alvos Governamentais do Sul da Ásia > DinDoor é um backdoor atribuído ao DoNot Team (APT-C-35), grupo de espionagem com suspeita de vínculo governamental indiano, ativo desde pelo menos 2016. O malware é distribuído via documentos Office maliciosos e tem como alvo principal organizações governamentais e militares no Paquistão, Bangladesh e Afeganistão. ## Visão Geral O DinDoor é um backdoor documentado no arsenal do DoNot Team (também rastreado como APT-C-35), um grupo de ameaça persistente avançada com suspeita de origem indiana e histórico de campanhas de espionagem contra governos e militares no sul da Ásia desde pelo menos 2016. O malware é tipicamente entregue via documentos Office maliciosos com temas de notícias regionais e comúnicados governamentais enviados por spear-phishing. Uma vez executado, o DinDoor estabelece persistência no sistema e abre canal de comunicação com o servidor C2 para receber comandos. As capacidades do backdoor incluem download e execução de módulos adicionais, coleta de arquivos locais, captura de telas e execução de comandos arbitrários. A arquitetura modular permite que os operadores personalizem as capacidades conforme o alvo específico. O DoNot Team também opera uma variante Android do malware, demonstrando operações multi-plataforma com o objetivo de monitoramento abrangente de alvos de interesse. > [!latam] Relevância para o Brasil e LATAM > O DoNot Team opera principalmente no sul da Ásia e não possui histórico documentado de operações na América Latina. Entretanto, missões diplomáticas e representações governamentais de países do sul da Ásia no Brasil podem representar superfície de ataque para operações de espionagem. Organizações brasileiras com parcerias na região devem estar cientes da ameaça de comprometimento via cadeia de suprimentos ou parceiros comprometidos. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-phishing\|T1566]] | Spear-phishing com documentos Office maliciosos | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para execução de estágios secundários | | C2 | [[t1071-application-layer-protocol\|T1071]] | HTTP/HTTPS para comunicação com servidor C2 | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de documentos e dados locais | ## Detecção - Monitorar criação de processos PowerShell por aplicativos Office - Detectar conexões HTTP incomuns após abertura de documentos - Implementar regras de detecção para padrões de DinDoor no SIEM - EDR com análise comportamental para macros e execução de scripts ## Referências - [ESET - DoNot Team Analysis](https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/) - [Kaspersky - APT-C-35 DoNot Team](https://securelist.com/the-donot-team-attacks-governments-in-south-asia/110099/)