s0186-downpaper - RunkIntel

# DownPaper > Tipo: **malware** · S0186 · [MITRE ATT&CK](https://attack.mitre.org/software/S0186) ## Descrição [[s0186-downpaper|DownPaper]] é um Trojan backdoor cujá funcionalidade principal é baixar e executar malware de segundo estágio. Atribuído ao grupo iraniano [[g0059-magic-hound|Magic Hound]] (também conhecido como APT35 e Charming Kitten), o DownPaper é entregue tipicamente por meio de documentos de spear-phishing e age como um primeiro estágio leve que estabelece persistência antes de buscar payloads adicionais do servidor de comando e controle. O malware realiza extenso reconhecimento do sistema logo após a infecção, consultando o registro do Windows, informações do proprietário e configurações de rede. Utiliza protocolos web padrão para comunicação C2, tornando o tráfego malicioso mais difícil de distinguir do tráfego legítimo. A persistência é garantida por meio de chaves de execução no registro do Windows, garantindo a sobrevivência a reinicializações. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Grupos que Usam - [[g0059-magic-hound|Magic Hound]] ## Detecção - Monitorar criação de chaves de execução no registro (`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`) por processos suspeitos via [[t1547-001-registry-run-keys-startup-folder|T1547.001]] - Alertar sobre execução de comandos PowerShell e cmd.exe iniciados por processos de email ou navegador - Inspecionar tráfego HTTP/HTTPS de saída com User-Agents incomuns ou comunicação com domínios de baixa reputação - Correlacionar execuções de `reg.exe` com subsequente download de arquivos externos (possível indicativo de segundo estágio) ## Relevância LATAM/Brasil O [[g0059-magic-hound|Magic Hound]] tem histórico de campanhas de espionagem voltadas a governos e indústrias estratégicas no Oriente Médio, mas TTPs idênticas foram aplicadas globalmente. Organizações brasileiras nos setores de governo, energia e telecomúnicações representam alvos potenciais de campanhas iranianas de espionagem. O uso de spear-phishing em língua nativa - tática documentada do grupo - é plenamente adaptável para campanhas contra o Brasil. Equipes de segurança devem monitorar IOCs associados ao Magic Hound e similares (APT35, Charming Kitten) nas plataformas de inteligência de ameaças. ## Referências - [MITRE ATT&CK - S0186](https://attack.mitre.org/software/S0186)