# Linfo > Tipo: **malware** · S0211 · [MITRE ATT&CK](https://attack.mitre.org/software/S0211) ## Descrição [[s0211-linfo|Linfo]] é um trojan rootkit utilizado pelo grupo [[g0066-elderwood|Elderwood]] para abrir um backdoor em hosts Windows comprometidos. O malware é capaz de se esconder de ferramentas de detecção utilizando técnicas de rootkit e foi associado a operações de espionagem cibernética conduzidas pelo grupo Elderwood, ligado à China, contra alvos nos setores de defesa e indústria. O Linfo realiza descoberta de informações do sistema via [[t1082-system-information-discovery|T1082]], enumera arquivos e processos em execução, e estabelece canais de comunicação com fallback para assegurar resiliência do C2 via [[t1008-fallback-channels|T1008]]. O malware agenda transferências de dados para horários específicos usando [[t1029-scheduled-transfer|T1029]], minimizando a detecção por análise de tráfego de rede em tempo real. Dados exfiltrados do sistema local são coletados via [[t1005-data-from-local-system|T1005]] e transferidos para infraestrutura controlada pelo ator. A atribuição ao [[g0066-elderwood|Elderwood]] foi estabelecida com base em sobreposição de infraestrutura e código com outras ferramentas do grupo, que é rastreado como um ator persistente de espionagem cibernética com motivações de coleta de inteligência. O Elderwood é conhecido por explorar vulnerabilidades zero-day e foi observado em operações contra a cadeia de suprimentos de defesa dos EUA e aliados. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1029-scheduled-transfer|T1029 - Scheduled Transfer]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Grupos que Usam - [[g0066-elderwood|Elderwood]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Monitorar criação de processos filhos de processos inesperados, especialmente relacionados a descoberta de sistema e execução de comandos via `cmd.exe`. - **[[ds-0017-command|Command Execution]]** - Alertar para uso de comandos de descoberta de sistema e rede em sequência rápida, padrão de reconhecimento pós-comprometimento associado a rootkits. - **[[ds-0022-file|File Modification]]** - Detectar modificações de arquivos do sistema por processos não autorizados - técnica característica de rootkits para ocultar sua presença. ```sigma title: Linfo Rootkit Post-Compromise Recon Pattern status: experimental logsource: category: process_creation product: windows detection: selection: CommandLine|contains: - 'systeminfo' - 'tasklist' - 'dir /s' timeframe: 1m condition: selection | count() > 3 falsepositives: - System administrators performing inventory level: medium tags: - attack.discovery - attack.t1082 - code/distill ``` ## Relevância LATAM/Brasil O Linfo e o grupo Elderwood representam a categoria de ameaças de espionagem cibernética originadas na China com foco histórico na cadeia de suprimentos de defesa e tecnologia. Embora o foco primário do Elderwood sejam alvos nos EUA e Europa, empresas brasileiras do setor de defesa, aeroespacial e tecnologia que mantêm parcerias com contratantes ocidentais podem ser alvos indiretos desta ameaça. ## Referências - [MITRE ATT&CK - S0211](https://attack.mitre.org/software/S0211)