# Wiarp > Tipo: **malware** · S0206 · [MITRE ATT&CK](https://attack.mitre.org/software/S0206) ## Descrição [[s0206-wiarp|Wiarp]] é um trojan backdoor utilizado pelo [[g0066-elderwood|Elderwood]] (APT3/Gothic Panda) para abrir e manter acesso remoto persistente em hosts comprometidos. O malware faz parte do arsenal diversificado do grupo Elderwood, que é conhecido por campanhas de espionagem industrial altamente sofisticadas contra alvos nos setores de defesa, tecnologia e governo. O Wiarp instala-se como um serviço Windows para garantir persistência e utiliza process injection para injetar código malicioso em processos legítimos do sistema, dificultando sua detecção. Fornece ao operador acesso remoto via shell Windows e capacidade de transferir ferramentas adicionais para o sistema comprometido. Esta combinação de persistência como serviço e injeção em processos legítimos é característica das ferramentas de acesso inicial do Elderwood, que prioriza furtividade sobre funcionalidade avançada. O Elderwood, como grupo, é particularmente notável por sua capacidade de explorar vulnerabilidades zero-day em sua cadeia de ataque, utilizando backdoors como o Wiarp como etapa de estabelecimento de acesso após a exploração inicial. O grupo também demonstrou capacidade de comprometer a cadeia de suprimentos de software para entregar malware a múltiplas vítimas simultaneamente, tornando-o uma ameaça de referência para análise de risco de cadeia de suprimentos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] ## Grupos que Usam - [[g0066-elderwood|Elderwood]] ## Detecção A detecção do Wiarp deve focar em: criação de serviços Windows novos e não documentados, especialmente após eventos de autenticação ou acesso externo suspeitos; injeção de código em processos legítimos via API de processo do Windows (CreateRemoteThread, WriteProcessMemory); e execução de comandos shell a partir de processos de serviço incomuns. Comparação regular do inventário de serviços instalados com uma baseline aprovada é uma prática eficaz de hunting. ## Relevância LATAM/Brasil O [[g0066-elderwood|Elderwood]] (APT3) tem foco em espionagem industrial global, especialmente em empresas de tecnologia e defesa. Empresas brasileiras que participam de cadeias de suprimentos globais nos setores aeroespacial, de telecomúnicações e tecnologia podem ser alvos indiretos de campanhas Elderwood. A técnica de comprometimento de cadeia de suprimentos de software utilizada pelo grupo representa um vetor de risco crescente para organizações brasileiras que dependem de fornecedores de software internacionais. ## Referências - [MITRE ATT&CK - S0206](https://attack.mitre.org/software/S0206)