# GOLDDRAGON > Tipo: **backdoor** · S0245 · [MITRE ATT&CK](https://attack.mitre.org/software/S0245) ## Descrição [[s0245-golddragon|GOLDDRAGON]] (também referênciado como Brave Prince) é um backdoor utilizado pelo [[g0032-lazarus-group|Lazarus Group]], o grupo de ameaça persistente avançada vinculado à Coreia do Norte responsável por operações de espionagem e crimes financeiros em escala global. O GOLDDRAGON foi identificado em campanhas de 2017 e é parte do amplo arsenal de backdoors que o grupo mantém e usa de forma seletiva em diferentes tipos de operações. O malware é distribuído tipicamente através de documentos Word maliciosos enviados via spear-phishing para alvos de alto valor nos setores financeiro, defesa e governo. O [[s0245-golddragon|GOLDDRAGON]] implementa capacidades de backdoor completas: execução de comandos shell, transferência de arquivos, descoberta extensiva de informações do sistema (versão OS, usuário, processos, configurações de rede), e comunicação C2 via HTTP/HTTPS. O malware estabelece persistência via chaves de registro Run e verifica continuamente a disponibilidade do servidor C2 para receber novos comandos. Como outros implantes do [[g0032-lazarus-group|Lazarus Group]], o GOLDDRAGON é tipicamente um componente de uma cadeia de comprometimento maior que inclui ferramentas de reconhecimento, movimentação lateral e exfiltração. O [[g0032-lazarus-group|Lazarus Group]] é notório por suas operações financeiras sem precedentes - incluindo ataques ao sistema SWIFT de bancos, roubos a exchanges de criptomoedas (estimados em mais de US$3 bilhões até 2023 segundo o FBI), e campanhas de ransomware como WannaCry. O arsenal diversificado do grupo, incluindo o GOLDDRAGON, permite operações paralelas contra múltiplos tipos de alvos simultaneamente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção > [!tip] Indicadores de Detecção > - Correlacionar IoCs do Lazarus Group contra telemetria de rede e endpoints (atualizar feeds regularmente) > - Monitorar documentos Word que executam scripts ou processos externos ao serem abertos > - Detectar conexões HTTP para domínios sem histórico ou com padrões de geolocalização suspeitos > - Alertar sobre coleta sistemática de informações do sistema (nome de host, versão OS, processos) em sequência rápida > - Implementar regras de detecção baseadas em código compartilhado com outros implantes do Lazarus ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] tem presença documentada no Brasil com ataques ao sistema financeiro e tentativas de comprometimento de exchanges de criptomoedas. O GOLDDRAGON como backdoor de propósito geral pode ser utilizado em qualquer fase de uma operação do Lazarus no Brasil - desde reconhecimento inicial até persistência de longo prazo durante operações financeiras complexas. Bancos brasileiros com operações internacionais, fintechs e exchanges de criptomoedas devem tratar o arsenal do Lazarus Group como ameaça prioritária em seus programas de threat intelligence. ## Referências - [MITRE ATT&CK - S0245](https://attack.mitre.org/software/S0245)