s0059-winmm - RunkIntel

# WinMM > Tipo: **malware** · S0059 · [MITRE ATT&CK](https://attack.mitre.org/software/S0059) ## Descrição [[s0059-winmm|WinMM]] é um backdoor simples e completo utilizado pelo [[g0019-naikon|Naikon]], grupo APT de origem chinesa com foco em espionagem contra governos e organizações militares na região Ásia-Pacífico, especialmente no Sudeste Asiático. O malware fornece ao operador acesso remoto persistente ao sistema comprometido com capacidades de reconhecimento abrangentes. O WinMM realiza descoberta de processos em execução, arquivos e diretórios, e informações do sistema do host comprometido, permitindo ao operador do [[g0019-naikon|Naikon]] mapear o ambiente antes de executar operações de coleta de inteligência mais específicas. O suporte a fallback channels garante que a comunicação com o servidor C2 sejá mantida mesmo se o canal primário for bloqueado, aumentando a resiliência do implant em ambientes com controles de rede mais rigorosos. O [[g0019-naikon|Naikon]] é um dos grupos APT mais ativos na região Ásia-Pacífico, com foco documentado em ministérios de relações exteriores, defesa e tecnologia de países do ASEAN. O uso do WinMM em suas operações demonstra a abordagem do grupo de manter um arsenal de backdoors simples e eficazes para acesso inicial e manutenção de presença em redes governamentais alvo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] ## Grupos que Usam - [[g0019-naikon|Naikon]] ## Detecção A detecção do WinMM deve focar em processos com padrões de comunicação de rede (beaconing HTTP) com fallback para canais secundários, comportamento de reconhecimento extensivo do sistema logo após execução, e processos desconhecidos que realizam múltiplas consultas de descoberta em sequência. Monitoramento de conexões de saída para infraestrutura C2 conhecida do [[g0019-naikon|Naikon]] e análise comportamental via EDR são as abordagens mais eficazes. ## Relevância LATAM/Brasil O [[g0019-naikon|Naikon]] tem foco específico em governos do Sudeste Asiático, mas o Brasil mantém relações diplomáticas e econômicas ativas com países dessa região. Organizações brasileiras de governo e defesa que operam em contextos relacionados ao Sudeste Asiático ou que hospedam funcionários de países-alvo do Naikon podem ser alvos de operações de espionagem. Mais amplamente, backdoors simples com fallback de C2 são um padrão comum em múltiplos grupos APT que operam contra alvos governamentais globalmente. ## Referências - [MITRE ATT&CK - S0059](https://attack.mitre.org/software/S0059)