s0207-vasport - RunkIntel

# Vasport > Tipo: **malware** · S0207 · [MITRE ATT&CK](https://attack.mitre.org/software/S0207) ## Descrição [[s0207-vasport|Vasport]] é um trojan backdoor utilizado pelo [[g0066-elderwood|Elderwood]], grupo de ameaça persistente avançada de origem chinesa (também conhecido como APT3 ou Gothic Panda) em operações de espionagem contra setores de tecnologia, defesa e governo. O malware é projetado para abrir e manter um backdoor em hosts comprometidos, fornecendo ao operador acesso persistente ao sistema. O Vasport estabelece persistência via chaves de registro de execução automática (Run Keys), garantindo que o backdoor reinicie com o sistema operacional. A comunicação com o servidor C2 ocorre via protocolos web padrão (HTTP/HTTPS), e o malware suporta encaminhamento de tráfego via proxy para ocultar a origem das comúnicações. O backdoor permite download e execução de ferramentas adicionais, funcionando como plataforma de staging para operações mais complexas. Como parte do arsenal do [[g0066-elderwood|Elderwood]], o Vasport foi utilizado em campanhas direcionadas de espionagem industrial e governamental, visando especialmente organizações do setor de defesa e tecnologia nos EUA, Europa e Ásia. O grupo Elderwood tem histórico de uso de zero-days e exploração de cadeias de suprimentos de software, tornando suas ferramentas de difícil detecção e neutralização. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1090-proxy|T1090 - Proxy]] ## Grupos que Usam - [[g0066-elderwood|Elderwood]] ## Detecção A detecção do Vasport deve focar em monitoramento de chaves de registro de auto-execução (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) para entradas suspeitas, análise de processos com comúnicações HTTP/HTTPS não usuais e identificação de tráfego de rede roteado via proxy para destinos desconhecidos. Regras de detecção baseadas em comportamento (conexões de rede iniciadas por processos incomuns) são mais eficazes que detecção por assinatura para este tipo de backdoor simples. ## Relevância LATAM/Brasil O [[g0066-elderwood|Elderwood]] (APT3) tem histórico de espionagem industrial global, com foco em tecnologia e defesa. Empresas brasileiras nos setores aeroespacial, de telecomúnicações e de tecnologia que participam de contratos internacionais ou possuem parceiros nos EUA e Europa podem ser alvos indiretos de campanhas Elderwood via comprometimento de cadeia de suprimentos. A simplicidade do Vasport o torna uma ferramenta de acesso inicial eficaz que pode ser usada em estágios iniciais de uma operação mais longa. ## Referências - [MITRE ATT&CK - S0207](https://attack.mitre.org/software/S0207)