# Misdat > Tipo: **malware** · S0083 · [MITRE ATT&CK](https://attack.mitre.org/software/S0083) ## Descrição [[s0083-misdat|Misdat]] é um backdoor utilizado na [[operation-dust-storm|Operation Dust Storm]] de 2010 a 2011, representando uma das primeiras ferramentas documentadas desta campanha de espionagem cibernética de longa duração. A Operation Dust Storm foi uma série de ataques direcionados contra organizações no Jápão, Coreia do Sul e setores de infraestrutura crítica nos EUA, com motivação de espionagem industrial e governamental atribuída a atores com nexo chinês. O Misdat implementa diversas técnicas de evasão e persistência: mascaramento de nome de arquivo para parecer legítimo ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]), timestomping para alterar metadados de arquivo ([[t1070-006-timestomp|T1070.006]]), packing de software ([[t1027-002-software-packing|T1027.002]]) e limpeza de rastros de persistência após execução ([[t1070-009-clear-persistence|T1070.009]]). Uma capacidade notável é a verificação do idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]), que pode indicar lógica para evitar infecção em sistemas com idioma específico (possívelmente chinês). A comunicação C2 do Misdat usa protocolo de camada não-aplicação ([[t1095-non-application-layer-protocol|T1095]]) com codificação de dados ([[t1132-001-standard-encoding|T1132.001]]) e exfiltra dados diretamente pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O malware coleta arquivos locais ([[t1005-data-from-local-system|T1005]]) e mantém persistência via autostart do sistema ([[t1547-boot-or-logon-autostart-execution|T1547]]), garantindo sobrevivência a reinicializações. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1070-009-clear-persistence|T1070.009 - Clear Persistence]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1547-boot-or-logon-autostart-execution|T1547 - Boot or Logon Autostart Execution]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] ## Detecção Detecção do Misdat inclui monitoramento de tráfego de rede usando protocolo não-padrão ([[t1095-non-application-layer-protocol|T1095]]), verificação de integridade de timestamps de arquivo para detectar timestomping ([[t1070-006-timestomp|T1070.006]]) e identificação de binários compactados com packing incomum ([[t1027-002-software-packing|T1027.002]]). A exclusão de entradas de autorun após execução ([[t1070-009-clear-persistence|T1070.009]]) é um comportamento raro que, se detectado, é forte indicador de comprometimento. IOCs completos da Operation Dust Storm foram públicados pela Cylance em 2016. ## Relevância LATAM/Brasil O padrão de ataque da Operation Dust Storm contra infraestrutura crítica de energia e defesa é diretamente aplicável ao contexto brasileiro. Além disso, as técnicas de evasão do Misdat - timestomping, packing, limpeza de rastros - são amplamente reutilizadas por malware moderno, incluindo grupos de crime organizado que operam no Brasil. O estudo do Misdat fornece base técnica para entender como operadores APT avançados limpam evidências de comprometimento. ## Referências - [MITRE ATT&CK - S0083](https://attack.mitre.org/software/S0083)