# S-Type > Tipo: **malware** · S0085 · [MITRE ATT&CK](https://attack.mitre.org/software/S0085) ## Descrição [[s0085-s-type|S-Type]] é um backdoor utilizado na [[operation-dust-storm|Operation Dust Storm]] desde pelo menos 2013 - uma campanha de espionagem cibernética de longa duração dirigida principalmente a organizações jáponesas nos setores de energia, construção, transportes e manufatura. A operação foi atribuída a um ator de ameaça suspeito de ser de origem chinesa, com foco em coleta de inteligência industrial e econômica. O [[s0085-s-type|S-Type]] faz parte de um arsenal mais amplo de malwares customizados utilizados nessa campanha. As capacidades do [[s0085-s-type|S-Type]] são típicas de um backdoor de espionagem: estabelece canal de comando e controle via protocolos web ([[t1071-001-web-protocols|T1071.001]]) com canais de fallback ([[t1008-fallback-channels|T1008]]) para garantir resiliência da comunicação, realiza descoberta do sistema e do usuário, e cria contas locais ([[t1136-001-local-account|T1136.001]]) para garantir acesso alternativo. O malware utiliza packing de software ([[t1027-002-software-packing|T1027.002]]) e mascaramento de nomes de arquivos ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]) para dificultar detecção. Uma característica operacional importante é a verificação do idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) - comportamento comum em malwares de origem chinesa que evitam infectar sistemas em língua chinesa para reduzir risco de descoberta pelos próprios operadores. O malware também limpa sua persistência ([[t1070-009-clear-persistence|T1070.009]]) quando necessário, demonstrando consciência sobre segurança operacional por parte dos desenvolvedores. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1070-009-clear-persistence|T1070.009 - Clear Persistence]] ## Detecção - Monitorar criação de contas locais por processos não relacionados a administração de sistemas - Detectar modificações em atalhos (.lnk) do sistema ou do usuário por processos de background - Alertar sobre comúnicações HTTP/HTTPS para domínios de baixa reputação ou recém-registrados - Inspecionar binários com packing suspeito (alta entropia, seções PE incomuns) - Correlacionar eventos de criação de conta com atividade de descoberta de sistema na mesma sessão ## Relevância LATAM/Brasil O perfil de espionagem industrial do [[s0085-s-type|S-Type]] é relevante para o Brasil, particularmente para setores estratégicos como energia, agronegócio, mineração e manufatura - todos alvos de interesse para atores de espionagem econômica. Empresas brasileiras com parcerias estratégicas no Jápão ou com presença em mercados asiáticos devem considerar TTPs de campanhas como a [[operation-dust-storm|Operation Dust Storm]] ao avaliar seu perfil de risco de espionagem cibernética. ## Referências - [MITRE ATT&CK - S0085](https://attack.mitre.org/software/S0085)