# Gobot2 > Tipo: **backdoor (Go)** · [APT41 Toolset](https://attack.mitre.org/groups/G0096/) ## Descrição [[gobot2|Gobot2]] é um backdoor desenvolvido em Go (Golang) atribuído ao grupo [[g0096-apt41|APT41]], que tem demonstrado crescente uso de malwares escritos em Go por sua portabilidade multiplataforma e dificuldade de análise. Identificado em análises do arsenal técnico do APT41, o Gobot2 representa a tendência de grupos APT de adotar linguagens modernas de programação para seus implantes, dificultando detecção por soluções que utilizam análise de bytecode ou padrões de compilação tradicionais de C/C++. O malware fornece capacidades de backdoor remoto com comunicação C2 via HTTP/HTTPS. O [[gobot2|Gobot2]] implementa funcionalidades típicas de backdoor: execução de comandos shell, transferência de arquivos, descoberta de informações do sistema e capacidade de atualização remota de si mesmo. Como binário compilado em Go, o executável inclui o runtime completo da linguagem, resultando em arquivos grandes que diferem significativamente de implantes tradicionais - o que pode tanto facilitar quanto dificultar detecção, dependendo das regras implementadas. O malware utiliza técnicas de ofuscação de strings e código para resistir a análise estática. O uso crescente de Go por grupos APT - incluindo [[g0016-apt29|APT29]] (GoldMax), [[g0032-lazarus-group|Lazarus Group]] (GoldFinder), e [[g0096-apt41|APT41]] (Gobot2) - reflete uma tendência maior de adoção desta linguagem para desenvolvimento de malware por suas vantagens operacionais: compilação estática que elimina dependências, suporte nativo a concorrência para operações paralelas, e capacidade de compilação cruzada para múltiplas plataformas a partir de um único codebase. **Plataformas:** Windows, Linux ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[g0096-apt41|APT41]] ## Detecção > [!tip] Indicadores de Detecção > - Detectar binários Go por características do runtime (strings internas, estruturas de stack) > - Monitorar execução de processos com tamanho de binário incomum (binários Go compilados estáticamente são tipicamente >5MB) > - Alertar sobre binários sem assinatura digital de tamanho grande executados de caminhos temporários > - Implementar regras YARA para binários Go maliciosos baseadas em características do compilador e ofuscação > - Correlacionar com IoCs conhecidos do APT41 em threat intelligence feeds ## Relevância LATAM/Brasil O [[g0096-apt41|APT41]] tem documentação de ataques a empresas brasileiras, especialmente no setor de saúde, tecnologia e jogos digitais. O uso de Go permite ao grupo criar variantes rapidamente adaptadas para diferentes alvos e sistemas operacionais - incluindo servidores Linux comuns em datacenters brasileiros. A crescente adoção de malwares baseados em Go por múltiplos grupos APT demanda que equipes de segurança brasileiras atualizem suas regras de detecção para cobrir características específicas de binários Go maliciosos. ## Referências - [MITRE ATT&CK - APT41 (G0096)](https://attack.mitre.org/groups/G0096/)