s0084-mis-type - RunkIntel

# Mis-Type > Tipo: **malware** · S0084 · [MITRE ATT&CK](https://attack.mitre.org/software/S0084) ## Descrição [[s0084-mis-type|Mis-Type]] é um híbrido de backdoor utilizado na [[operation-dust-storm|Operation Dust Storm]] até 2012, uma campanha de espionagem de longa duração atribuída a um ator de ameaças de origem suspeita chinesa. A Operation Dust Storm comprometeu organizações nos setores de defesa, energia, finanças e transporte no Jápão, Coreia do Sul, Estados Unidos, Europa e outros países asiáticos. O Mis-Type é classificado como "híbrido" porque combina funcionalidades de downloader e backdoor em um único implante. O Mis-Type estabelece persistência via autostart ([[t1547-boot-or-logon-autostart-execution|T1547]]) e coleta informações do sistema comprometido ([[t1082-system-information-discovery|T1082]], [[t1033-system-owneruser-discovery|T1033]]) para reconhecimento inicial. Para exfiltração, utiliza canais C2 HTTP/S ([[t1071-001-web-protocols|T1071.001]]) com codificação base64 ([[t1132-001-standard-encoding|T1132.001]]) e suporta múltiplos canais de fallback ([[t1008-fallback-channels|T1008]]) para resiliência da comunicação. A capacidade de criar contas locais ([[t1136-001-local-account|T1136.001]]) sugere uso para manutenção de acesso alternativo. Como parte de um conjunto mais amplo de ferramentas da Operation Dust Storm - que também inclui [[s0083-misdat|Misdat]] e outros implantes - o Mis-Type representa a fase de acesso inicial e estabelecimento de foothold, enquanto ferramentas mais especializadas eram implantadas para coleta de inteligência em alvos de alto valor. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1106-native-api|T1106 - Native API]] - [[t1547-boot-or-logon-autostart-execution|T1547 - Boot or Logon Autostart Execution]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Detecção Detecção do Mis-Type baseia-se em monitoramento de autostart incomum ([[t1547-boot-or-logon-autostart-execution|T1547]]), presença de processos com nomes que imitam binários legítimos do sistema ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]) e criação de contas locais inesperadas ([[t1136-001-local-account|T1136.001]]). O tráfego de rede com codificação base64 em canais não-HTTP ([[t1132-001-standard-encoding|T1132.001]], [[t1095-non-application-layer-protocol|T1095]]) também serve como indicador. IOCs históricos da Operation Dust Storm estão disponíveis em relatórios públicos da Cylance (2016). ## Relevância LATAM/Brasil A Operation Dust Storm focou em setores de defesa, energia e infraestrutura crítica - todos presentes no Brasil. As técnicas do Mis-Type, embora datadas de 2012, continuam relevantes para entender padrões de ataque a organizações industriais e governamentais. Versões modernas de backdoors similares utilizadas por grupos com nexo chinês seguem os mesmos padrões de comunicação e persistência, tornando o estudo do Mis-Type valioso para equipes de threat intelligence que analisam a evolução do arsenal de espionagem chinesa. ## Referências - [MITRE ATT&CK - S0084](https://attack.mitre.org/software/S0084)