s0064-elmer - RunkIntel

# ELMER > Tipo: **malware** · S0064 · [MITRE ATT&CK](https://attack.mitre.org/software/S0064) ## Descrição [[s0064-elmer|ELMER]] é um backdoor HTTP não persistente com suporte a proxy, escrito em Delphi, utilizado pelo grupo [[g0023-apt16|APT16]] - ator de ameaça de provável origem chinesa documentado em ataques a organizações jáponesas e taiwanesas. O caráter não persistente do ELMER indica que é projetado para acesso inicial e reconhecimento de curto prazo, sem estabelecer presença duradoura que poderia facilitar sua detecção. O ELMER comúnica-se com seu servidor C2 exclusivamente via HTTP, suportando configurações de proxy para contornar controles de rede corporativos. Suas capacidades incluem enumeração de arquivos e diretórios e descoberta de processos em execução - funcionalidades suficientes para reconhecimento inicial do ambiente antes de instalar ferramentas mais completas. A implementação em Delphi é uma escolha relativamente incomum que pode dificultar a análise por ferramentas de engenharia reversa otimizadas para C/C++ ou .NET. O APT16 é associado a campanhas de espionagem contra o Jápão e Taiwan, com foco em setores de manufatura, governo e tecnologia. O ELMER serve tipicamente como backdoor de primeiro estágio entregue via spear-phishing, permitindo que os operadores avaliem o ambiente antes de decidir se vale a pena instalar ferramentas adicionais e mais sofisticadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1057-process-discovery|T1057 - Process Discovery]] ## Grupos que Usam - [[g0023-apt16|APT16]] ## Detecção - Monitorar conexões HTTP de saída originárias de processos suspeitos ou novos serviços Windows, especialmente com User-Agents incomuns (T1071.001) - Detectar enumeração de processos e diretórios por processos que não são ferramentas de administração reconhecidas (T1057, T1083) - Analisar chamadas de API de proxy por processos não-navegador - o ELMER usa proxy para contornar controles de rede - Implementar inspeção de tráfego HTTP de saída para identificar chamadas C2: URIs com padrões específicos, intervalos regulares de beacon - Correlacionar eventos de spear-phishing com novos processos que iniciam comunicação de rede em curto período após abertura de documentos ## Relevância LATAM/Brasil O [[g0023-apt16|APT16]] foca em alvos jáponeses e taiwaneses, mas suas TTPs representam padrões comuns a múltiplos grupos de espionagem de origem asiática. A técnica de backdoor HTTP não persistente é amplamente utilizada como estágio inicial de comprometimento por diversos atores de ameaça que operam globalmente, incluindo grupos que historicamente visaram o Brasil. Organizações com presença multinacional ou parcerias com empresas jáponesas e taiwanesas no Brasil devem estar cientes das TTPs do APT16 e implementar controles de inspeção de tráfego HTTP de saída. ## Referências - [MITRE ATT&CK - S0064](https://attack.mitre.org/software/S0064)