ktlvdoor - RunkIntel

# KTLVdoor > Tipo: **backdoor multiplataforma** · Desenvolvido por [[g1006-earth-lusca|Earth Lusca]] · Descoberto em setembro 2024 pelo Trend Micro ## Visão Geral [[ktlvdoor|KTLVdoor]] e um backdoor multiplataforma altamente ofuscado escrito em Golang, desenvolvido pelo [[g1006-earth-lusca|Earth Lusca]] (também conhecido como AQUATIC PANDA, Charcoal Typhoon, TAG-22 e RedHotel), grupo APT de origem chinesa com foco principal em telecomúnicacoes, tecnologia e entidades governamentais na Asia. O malware foi descoberto em setembro de 2024 pelos pesquisadores Cedric Pernet e Jaromir Horejsi do Trend Micro durante monitoramento de campanhas do Earth Lusca. O nome "KTLVdoor" vem do marcador "KTLV" (Type-Length-Value) presente em seu arquivo de configuração interno. O malware tem versoes nativas para Windows (DLL) e Linux (arquivo .so), tornando-o uma ferramenta única de pos-comprometimento capaz de operar em ambos os sistemas operacionais mais comuns em ambientes corporativos e de governo. Uma caracteristica técnica notavel e o nivel extremo de ofuscacao: strings embutidas nao sao diretamente legiveis, simbolos foram removidos (stripped) e a grande maioria das funções e pacotes foram renomeados para strings aleatorias de aparencia Base64. Essa técnica de renomear pacotes Go em tempo de compilacao e incomum mesmo para malware sofisticado e indica investimento significativo em evasão de análise. O Earth Lusca distribui o KTLVdoor como biblioteca dinâmica (DLL no Windows, .so no Linux), frequentemente mascarado como utilitarios legitimos do sistema como `sshd`, `java`, `sqlite`, `bash` e `edr-agent`. A infraestrutura de C2 descoberta inclui mais de 50 servidores, todos hospedados em IPs da Alibaba - escala incomum que levou os pesquisadores a especular sobre possível compartilhamento de infraestrutura com outros grupos APT chineses. **Plataformas:** Windows, Linux ## Como Funciona O KTLVdoor implementa um agente de controle remoto full-featured com comunicação segura: 1. **Implantação como biblioteca dinâmica** - Distribuido como DLL (Windows) ou .so (Linux) mascarado como utilitario de sistema; método de distribuição inicial ainda nao completamente documentado 2. **Leitura de configuração TLV** - O malware le sua configuração de arquivo externo em formato TLV (Type-Length-Value) contendo: servidores C2, servidores proxy, protocolo (HTTP/TCP), modo de comunicação (simplex ou duplex) 3. **Loop de comunicação C2** - Após inicializacao, inicia loop de comunicação continua com servidor C2; mensagens sao comprimidas com GZIP e criptografadas com AES-GCM para autenticidade e confidencialidade (`T1573.001`) 4. **Modo duplex ou simplex** - Pode operar em modo duplex (envio e recepcao simultaneos) ou simplex (um canal so envia, outro so recebe), conferindo flexibilidade operacional 5. **Execução de tarefas multiples** - Handlers suportam: shell interativo, execução de comandos, manipulação de arquivos, listagem de processos, port scanning TCP/RDP/TLS/Ping/Web, proxy SOCKS, injecao de shellcode (Windows: ReflectDllInject, Linux: SoInject), timestomping 6. **Proxy SOCKS integrado** - Capacidade nativa de proxy SOCKS permite ao operador tunelar trafego através do host comprometido para acessar segmentos de rede internos (`T1090`) ```mermaid graph TB A["Earth Lusca - acesso inicial Exploração de N-day em servidores"] --> B["KTLVdoor implantado DLL ou SO mascarado como utilitario"] B --> C["Leitura config TLV Servidores C2 e protocolo"] C --> D["Loop C2 ativo GZIP + AES-GCM criptografado"] D --> E["Handler de tarefas"] E --> F1["Shell interativo Execução de comandos"] E --> F2["Manipulação de arquivos Upload, download, timestomp"] E --> F3["Port Scanning TCP, RDP, TLS, Ping, Web"] E --> F4["Proxy SOCKS Tunneling de trafego interno"] E --> F5["Shellcode injection Windows e Linux"] ``` ## Timeline ```mermaid timeline title KTLVdoor - Descoberta e Impacto 2019 : Earth Lusca ativo desde pelo menos April 2019 2024-09 : Trend Micro descobre KTLVdoor em campanha Earth Lusca : Alvo inicial: empresa de comercio exterior na China : Mais de 50 servidores C2 identificados na Alibaba : Versoes Windows (DLL) e Linux (SO) documentadas 2024-10 : Análise aprofundada publicada com IoCs completos : Especulacao sobre compartilhamento com outros grupos APT chineses 2026 : KTLVdoor ativo; Earth Lusca continua operacoes contra telecom e governo ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso | |--------|---------|-----| | Evasão | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Mascara como sshd, java, sqlite, bash, edr-agent | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Simbolos removidos, funções renomeadas para Base64-like strings | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Shell interativo Windows via handler Breakchain | | Execução | [[t1059-004-unix-shell\|T1059.004]] | Shell interativo Linux via handler InteractiveShell | | Execução | [[t1055-shellcode-injection\|T1055]] | ReflectDllInject (Win) e SoInject (Linux) | | Descoberta | [[t1046-network-service-discovery\|T1046]] | Port scanning TCP, RDP, TLS, Ping, Web | | Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Handler FileManager com operações completas | | Descoberta | [[t1057-process-discovery\|T1057]] | Handler Process para listagem e kill | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTP com servidor C2 | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | AES-GCM para criptografia de mensagens | | C2 | [[t1090-proxy\|T1090]] | Proxy SOCKS integrado para tunneling | | Coleta/Exfiltração | [[t1105-ingress-tool-transfer\|T1105]] | Upload/download de arquivos bidirecionais | ## Relevância LATAM/Brasil O [[g1006-earth-lusca|Earth Lusca]] tem historico de ataques a entidades governamentais, telecomúnicacoes e tecnologia em Asia, Australia, Europa e América do Norte. A presenca de mais de 50 servidores C2 em infraestrutura Alibaba e a possível compartilhamento de ferramental com outros grupos APT chineses indica capacidade de operação em grande escala. Para o Brasil: - **Telecomúnicacoes brasileiras**: Claro, Vivo, TIM e outras operadoras sao alvos de interesse para um grupo especializado em comprometer infraestrutura de telecomúnicacoes - **Governo digital**: Iniciativas de transformacao digital do governo federal brasileiro aumentam a superficie de ataque para backdoors multiplataforma que operam igualmente em Windows e Linux - **Capacidade multiplataforma**: A existencia de variantes Windows e Linux e particularmente relevante para ambientes brasileiros que misturam infraestrutura de ambos os tipos ## Detecção - **Processo**: Monitorar processos com nomes de utilitarios legitimos (sshd, java, sqlite) carregando DLLs ou SOs de caminhos incomuns (`T1036.005`) - **Rede**: Detectar trafego HTTP para IPs da Alibaba (203.x.x.x, 47.x.x.x) com padroes de mensagens GZIP; alertar sobre scanning de portas originado de servidores internos - **Arquivo**: Inspecionar bibliotecas dinâmicas com alta entropia e sem simbolos exportados - indicativo de malware empacotado - **YARA**: Regras baseadas no marcador "KTLV" em configuracoes e padroes de compilacao Go com strings Base64-like; disponiveis na públicacao do Trend Micro - **Proxy SOCKS**: Detectar trafego SOCKS5 nao-autorizado originado de servidores de producao ## Referências - [Trend Micro - Earth Lusca KTLVdoor Backdoor (2024)](https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html) - [The Hacker News - New Cross-Platform Malware KTLVdoor (2024)](https://thehackernews.com/2024/09/new-cross-platform-malware-ktlvdoor.html) - [Security Affairs - Earth Lusca KTLVdoor (2024)](https://securityaffairs.com/168078/malware/earth-lusca-malware-ktlvdoor.html) - [Hunt.io - KTLVdoor Malware Family (2026)](https://hunt.io/malware-families/ktlv-backdoor)