# Elise > Tipo: **malware** · S0081 · [MITRE ATT&CK](https://attack.mitre.org/software/S0081) ## Descrição [[s0081-elise|Elise]] (também conhecido como BKDR_ESILE e Page) é um Trojan backdoor personalizado utilizado exclusivamente pelo [[g0030-raspberry-typhoon|Lotus Blossom]] (APT41 / Lotus Panda), grupo de ameaça persistente avançada de provável origem chinesa. Faz parte de um grupo maior de ferramentas conhecido como LStudio, e foi documentado em campanhas de espionagem contra governos e organizações militares no Sudeste Asiático desde pelo menos 2012. O Elise emprega múltiplas técnicas de evasão para dificultar a análise: timestomping para alterar metadados de arquivos, armazenamento de configuração criptografada, e mascaramento do executável com nomes de arquivos de sistema legítimos. Após comprometer o host, o malware registra-se como um serviço Windows e inicia comunicação C2 via HTTP com tráfego cifrado, enviando informações do sistema e aguardando comandos do operador. As capacidades do Elise incluem: transferência bidirecional de arquivos, execução remota de comandos via shell, coleta de informações do sistema, serviços e processos em execução. A persistência é garantida pelo registro como serviço Windows (T1543.003), e o malware usa Rundll32 para execução de payloads adicionais. O Lotus Blossom utilizou o Elise em campanhas contra alvos governamentais nas Filipinas, Vietnã, Hong Kong e Taiwan. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g0030-raspberry-typhoon|Lotus Blossom]] ## Detecção - Monitorar criação de serviços Windows por processos não-instaladores, especialmente com nomes que imitam componentes legítimos do sistema (T1543.003, T1036.005) - Alertar sobre uso de Rundll32 para execução de DLLs não assinadas ou carregadas de diretórios de usuário (T1218.011) - Detectar modificação de metadados de arquivos (timestomping) por processos suspeitos - técnica utilizada para dificultar análise forense (T1070.006) - Monitorar comunicação HTTP com parâmetros de User-Agent incomuns saindo de processos de sistema ou serviços recém-criados - Verificar arquivos em `%TEMP%` e `%APPDATA%` com extensões de sistema (.dll, .exe) que não correspondem a softwares instalados reconhecidos ## Relevância LATAM/Brasil O [[g0030-raspberry-typhoon|Lotus Blossom]] (APT41) é um dos grupos de espionagem mais ativos na Ásia-Pacífico, mas suas TTPs de espionagem contra governos e setores estratégicos são aplicáveis globalmente. Organizações brasileiras com relações comerciais, diplomáticas ou de pesquisa com países do Sudeste Asiático podem ser alvo indireto. Mais relevante é o fato de que as TTPs do Elise - entrega via spear-phishing, backdoor registrado como serviço, comunicação HTTP - são compartilhadas por múltiplos grupos APT que atuam globalmente, incluindo em operações contra alvos latino-americanos. ## Referências - [MITRE ATT&CK - S0081](https://attack.mitre.org/software/S0081)