# RedLeaves > Tipo: **malware** · S0153 · [MITRE ATT&CK](https://attack.mitre.org/software/S0153) ## Descrição [[s0153-redleaves|RedLeaves]] (também conhecido como BUGJUICE) é uma família de malware backdoor utilizada pelo [[g0045-apt10|menuPass]] (APT10), grupo de espionagem cibernética com nexo à China. O código apresenta sobreposição significativa com o [[s0013-plugx|PlugX]] e pode ser baseado na ferramenta de código aberto Trochilus - padrão de reutilização de código que facilita o desenvolvimento rápido de novas variantes e dificulta a atribuição. O RedLeaves foi amplamente documentado em campanhas do [[g0045-apt10|menuPass]] contra empresas jáponesas e provedores de serviços gerenciados (MSPs) globais como parte da Operação Cloud Hopper, em que o grupo comprometeu MSPs para acessar redes de clientes downstream em múltiplos países simultaneamente. O malware oferece um backdoor completo com captura de tela ([[t1113-screen-capture|T1113]]), roubo de credenciais de navegador ([[t1555-003-credentials-from-web-browsers|T1555.003]]), execução de comandos ([[t1059-003-windows-command-shell|T1059.003]]), e comunicação C2 cifrada via criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]). Para evasão, o RedLeaves usa DLL sideloading ([[t1574-001-dll|T1574.001]]) - carregando a DLL maliciosa via um executável legítimo que procura a DLL por nome - e persiste via atalhos modificados ([[t1547-009-shortcut-modification|T1547.009]]) e chaves de Run no Registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). O uso de portas não-padrão ([[t1571-non-standard-port|T1571]]) para comunicação C2 ajuda a contornar regras de firewall baseadas em porta. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0045-apt10|menuPass]] ## Detecção A detecção do RedLeaves deve focar em DLL sideloading ([[t1574-001-dll|T1574.001]]) - monitorar executáveis legítimos carregando DLLs de diretórios incomuns é um indicador forte. Tráfego de rede em portas não-padrão ([[t1571-non-standard-port|T1571]]) por processos de sistema e acessos a arquivos de credenciais de navegadores por processos não-browser são outros sinais de alerta. Regras YARA para a assinatura de compilador do RedLeaves e suas sobreposições com PlugX estão disponíveis em repositórios públicos. ## Relevância LATAM/Brasil O [[g0045-apt10|menuPass]] foi responsável pela Operação Cloud Hopper, que comprometeu MSPs globais para acessar redes de clientes em múltiplos países. MSPs e provedores de serviços de TI que aténdem clientes brasileiros com presença internacional, especialmente no Jápão ou outros países alvos do APT10, podem ter sido vetores da campanha Cloud Hopper. O Brasil possui um mercado crescente de MSPs, e a tática de comprometer o provedor para atingir os clientes finais representa uma das ameaças de supply chain mais relevantes para o mercado corporativo brasileiro. ## Referências - [MITRE ATT&CK - S0153](https://attack.mitre.org/software/S0153)