# Icefog > Tipo: **malware** · S0015 · [MITRE ATT&CK](https://attack.mitre.org/software/S0015) ## Descrição [[s0015-icefog|Icefog]] é um backdoor para Windows documentado pela Kaspersky em 2013 em conexão com uma campanha de espionagem de ator de ameaça de língua chinesa denominada Operação Icefog. O grupo por trás da operação - não atribuído a um APT específico com nome público - demonstrou uma abordagem operacional distinta: em vez de comprometer alvos e manter acesso por longos períodos, a campanha Icefog usava ataques cirúrgicos e rápidos de "hit and run", exfiltrando dados específicos e removendo rastros. Alvos incluíam contratantes de defesa, fornecedores de navios e empresas de tecnologia no Jápão e Coreia do Sul. O Icefog backdoor suporta execução de comandos de shell, acesso ao sistema de arquivos (listagem, leitura, escrita e exclusão de arquivos), captura de tela e comunicação C2 via HTTP. A operação usou um painel web para gerenciar múltiplas vítimas simultaneamente, com operadores realizando operações manuais de coleta de dados - em contraste com malwares totalmente automatizados. A exclusão de arquivos como técnica de limpeza de rastros é característica da abordagem cirúrgica da operação. Versões para macOS do Icefog (denominadas Icefog-NG) foram identificadas em 2014, estendendo o alcance do backdoor para sistemas Apple - especialmente relevante dado o crescente uso de Macs em ambientes corporativos e governamentais jáponeses. A campanha Icefog demonstrou que grupos de espionagem podem operar com maior velocidade e menor exposição que campanhas APT tradicionais de longa duração, inspirando uma geração de operações mais ágeis. **Plataformas:** Windows, macOS ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1113-screen-capture|T1113 - Screen Capture]] ## Detecção A detecção do Icefog foca em comúnicações C2 e comportamentos de descoberta seguidos de exfiltração. Análise de tráfego HTTP para padrões de C2 e captura de tela por processos incomuns são indicadores prioritários. A exclusão de arquivos após acesso (padrão de limpeza de rastros) pode ser detectada via auditoria de sistema de arquivos. Correlação de events de system discovery + file access + network transfer em jánela temporal curta é característica da abordagem "hit and run" do Icefog. ## Relevância LATAM/Brasil Embora a campanha Icefog tenha focado primariamente em alvos do Jápão e Coreia do Sul, as técnicas de espionagem cirúrgica e rápida que ela popularizou são amplamente relevantes. Empresas brasileiras com parcerias em defesa, tecnologia naval e aeroespacial - setores de interesse para atores de espionagem chineses - podem ser alvos dessa abordagem. A indústria naval brasileira (com o estaleiro Itaguaí Construções Navais e projetos militares) é um vetor potencial de interesse para grupos com TTPs similares ao Icefog. ## Referências - [MITRE ATT&CK - S0015](https://attack.mitre.org/software/S0015) - [Kaspersky - Icefog: A Tale of Cloak and Three Daggers](https://securelist.com/icefog-a-tale-of-cloak-and-three-daggers/57331/)