# Pasam > Tipo: **malware** · S0208 · [MITRE ATT&CK](https://attack.mitre.org/software/S0208) ## Descrição [[s0208-pasam|Pasam]] é um trojan utilizado pelo [[g0066-elderwood|Elderwood]] (Axiom Group) para abrir um backdoor em hosts comprometidos. O Elderwood é um grupo de ameaça chinês conhecido por operar a plataforma "Elderwood" - um ecossistema de exploits e ferramentas de ataque que inclui múltiplas famílias de malware compartilhadas entre subgrupos do mesmo umbrella organizacional. O Pasam se destaca pelo uso de um driver LSASS para persistência - uma técnica de kernel-level que persiste mesmo após reinicializações e é invisível a ferramentas de segurança que operam apenas no espaço do usuário. Além da persistência via driver, o malware realiza descoberta extensiva do sistema (processos, arquivos, configurações de storage) e coleta dados locais para exfiltração. O [[g0066-elderwood|Elderwood]] tem como alvos principais empresas de defesa, manufatura de precisão e fornecedores da cadeia de suprimentos industrial nos Estados Unidos e na Europa, buscando propriedade intelectual tecnológica e segredos industriais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1547-008-lsass-driver|T1547.008 - LSASS Driver]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Grupos que Usam - [[g0066-elderwood|Elderwood]] ## Detecção - Monitorar carregamento de novos drivers no processo LSASS ([[t1547-008-lsass-driver|T1547.008]]) - Usar ferramentas como Autoruns e Process Monitor para identificar drivers suspeitos na inicialização - Detectar coleta massiva de arquivos locais por processos sem interface gráfica ([[t1005-data-from-local-system|T1005]]) - Auditar regularmente drivers carregados no kernel do Windows ## Relevância LATAM/Brasil O modelo de ataque do [[g0066-elderwood|Elderwood]] via cadeia de suprimentos industrial é relevante para o Brasil, que possui um parque industrial significativo em setores como aeronáutica (Embraer), petroquímica e manufatura avançada. Empresas brasileiras que fornecem para cadeias de suprimentos globais de defesa e tecnologia são alvos potenciais para grupos como o Elderwood que buscam propriedade intelectual de alto valor. ## Referências - [MITRE ATT&CK - S0208](https://attack.mitre.org/software/S0208)