s0012-poisonivy - RunkIntel

# PoisonIvy > Tipo: **malware** · S0012 · [MITRE ATT&CK](https://attack.mitre.org/software/S0012) ## Descrição [[s0012-poisonivy|PoisonIvy]] é uma popular ferramenta de acesso remoto (RAT) amplamente utilizada por diversos grupos de ameaça. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1547-014-active-setup|T1547.014 - Active Setup]] - [[t1480-002-mutual-exclusion|T1480.002 - Mutual Exclusion]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1014-rootkit|T1014 - Rootkit]] ## Grupos que Usam - [[g0066-elderwood|Elderwood]] - [[g1023-apt5|APT5]] - [[g0093-gallium|GALLIUM]] - [[g0006-apt1|APT1]] - [[g0018-admin338|admin@338]] - [[g0081-tropic-trooper|Tropic Trooper]] - [[g0017-dragonok|DragonOK]] - [[g0011-pittytiger|PittyTiger]] - [[g0136-indigozebra|IndigoZebra]] - [[g0001-axiom|Axiom]] ## Relevância LATAM/Brasil **Relevância LATAM/Brasil:** PoisonIvy é utilizado predominantemente por APTs chineses (TA428, [[g0093-gallium|GALLIUM]], [[g0081-tropic-trooper|Tropic Trooper]]) em campanhas de espionagem. O grupo [[g0093-gallium|GALLIUM]] tem como alvo telecomúnicações, governo e entidades financeiras em países estratégicos globalmente. Embora a maioria das campanhas documentadas foque em Ásia e África, a técnica de DLL sideloading do GALLIUM com PoisonIvy pode ser reaproveitada contra organizações LATAM de interesse geopolítico. Em maio de 2026, a MSS chinesa atribuiu operações PoisonIvy a Taiwan (Military ICEF Command) - indicando que o RAT permanece ativo em operações estado-nação. ## Detecção **Fontes de dados recomendadas:** - **Windows Security Event ID 4657 (Registry value modified):** Modificações em `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` e `HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\` - mecanismos de persistência primários do PoisonIvy - **Sysmon Event ID 10 (ProcessAccess):** DLL injection em `explorer.exe` ou `svchost.exe` via `VirtualAllocEx` + `WriteProcessMemory` + `CreateRemoteThread` - padrão fragmented injection do PoisonIvy - **Rede:** Conexões TCP persistentes na porta 3460 (histórica) ou portas configuradas pelo operador; tráfego criptografado com Camellia (padrão não-TLS) para C2; NetFlow com sessões longas e bidirecionais incomuns - **Memória:** Fragmentos de código dispersos em múltiplas alocações pequenas em processos legítimos - padrão único de injeção fragmentada do PoisonIvy (análise Volatility) **Regras de detecção:** - YARA: `apt_poisonivy.yar` - strings de configuração, marcadores de criptografia Camellia e estruturas de protocolo C2 (Neo23x0/signature-base via GitHub) - Sigma: Active Setup persistence - criação de chave `HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\` com StubPath para executável em localização não-padrão - Snort/Suricata: Regras de detecção de protocolo PoisonIvy C2 baseadas no challenge-response handshake de 256 bytes + padding variável (variante SPIVY) ## Referências Adicionais - [MITRE ATT&CK - S0012](https://attack.mitre.org/software/S0012) - [Palo Alto Unit 42 - SPIVY Variant Targeting Hong Kong Activists](https://unit42.paloaltonetworks.com/unit42-new-poison-ivy-rat-variant-targets-hong-kong-pro-democracy-activists/) - 2016-06-15 - [Proofpoint - Operation LagTime IT (TA428)](https://www.proofpoint.com/us/threat-insight/post/chinese-apt-operation-lagtime-it-targets-government-information-technology) - 2019-07-16 - [Midnight Blue - Crypto Vulnerability in PoisonIvy C2 Protocol](https://www.midnightblue.nl/blog/crypto-trouble-in-poison-ivy-c2-protocol) - análise de vulnerabilidade de protocolo