s0260-invisimole - RunkIntel

# InvisiMole > Tipo: **malware** · S0260 · [MITRE ATT&CK](https://attack.mitre.org/software/S0260) ## Descrição [[s0260-invisimole|InvisiMole]] é um programa de spyware modular sofisticado utilizado pelo InvisiMole Group desde pelo menos 2013. Possui dois módulos de backdoor denominados RC2FM e RC2CL, cada um com funcionalidades distintas de pós-exploração: o RC2FM oferece capacidades básicas de controle remoto e coleta de informações, enquanto o RC2CL é um backdoor completo capaz de capturar vídeo da câmera, gravar áudio do microfone, rastrear localização geográfica e exfiltrar documentos sensíveis. Foi descoberto em vítimas comprometidas na Ucrânia e na Rússia, operando de forma furtiva por anos sem detecção. A infraestrutura do [[g0047-gamaredon|Gamaredon Group]] foi utilizada para baixar e executar o [[s0260-invisimole|InvisiMole]] contra um pequeno número de vítimas altamente selecionadas, sugerindo uma operação de espionagem de precisão cirúrgica. O malware implementa técnicas avançadas de evasão, incluindo criptografia simétrica para comúnicações C2 ([[t1573-001-symmetric-cryptography|T1573.001]]), injeção de código em processos legítimos via [[t1055-002-portable-executable-injection|T1055.002]] e [[t1055-004-asynchronous-procedure-call|T1055.004]], e uso de Rundll32 ([[t1218-011-rundll32|T1218.011]]) para executar seus componentes disfarçados como DLLs do sistema Windows. O [[s0260-invisimole|InvisiMole]] é classificado como uma ameaça de espionagem de nível APT, operando em alvos de alto valor como diplomatas, militares e jornalistas. Sua arquitetura modular permite que os operadores carreguem funcionalidades específicas conforme necessário, minimizando a pegada digital e dificultando a análise forense. A relação operacional com o [[g0047-gamaredon|Gamaredon Group]] indica possível colaboração ou compartilhamento de infraestrutura entre diferentes grupos de ameaças de origem russa ou pró-russa. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1025-data-from-removable-media|T1025 - Data from Removable Media]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1055-002-portable-executable-injection|T1055.002 - Portable Executable Injection]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1559-001-component-object-model|T1559.001 - Component Object Model]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1055-004-asynchronous-procedure-call|T1055.004 - Asynchronous Procedure Call]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1560-002-archive-via-library|T1560.002 - Archive via Library]] ## Detecção A detecção do [[s0260-invisimole|InvisiMole]] exige monitoramento aprofundado de comportamentos anômalos, dada sua natureza furtiva e o uso de técnicas de evasão avançadas. Indicadores-chave incluem: carregamento de DLLs não assinadas via Rundll32 a partir de diretórios incomuns; injeção de código em processos legítimos do Windows (explorer.exe, svchost.exe); criação de entradas suspeitas em `HKLM\Software\Microsoft\Windows\CurrentVersion\Run`; e comunicação de rede para IPs externos usando protocolos não-padrão ([[t1095-non-application-layer-protocol|T1095]]). A utilização de canais de fallback ([[t1008-fallback-channels|T1008]]) implica que o bloqueio de um único domínio C2 é insuficiente - monitoramento de DNS e inspeção de tráfego de rede criptografado são essenciais. Soluções EDR devem alertar para comportamentos como: uso de APC injection ([[t1055-004-asynchronous-procedure-call|T1055.004]]), acesso a mídia removível ([[t1025-data-from-removable-media|T1025]]) por processos não esperados, e tentativas de desabilitar o firewall do sistema ([[t1562-004-disable-or-modify-system-firewall|T1562.004]]). O monitoramento de chamadas à API COM ([[t1559-001-component-object-model|T1559.001]]) por processos não-Office e a criação de arquivos compactados via API ([[t1560-002-archive-via-library|T1560.002]]) fora de aplicações legítimas de compressão também são sinais de alerta relevantes. ## Relevância LATAM/Brasil O [[s0260-invisimole|InvisiMole]] é primariamente associado a espionagem na Europa Oriental (Ucrânia, Rússia), sem campanhas documentadas específicamente contra alvos brasileiros ou latino-americanos. No entanto, sua relevância para a região reside no fato de que grupos como o [[g0047-gamaredon|Gamaredon Group]] têm expandido operações, e as técnicas de spyware modular empregadas pelo [[s0260-invisimole|InvisiMole]] são amplamente replicadas por outros atores. Organizações brasileiras com vínculos diplomáticos ou comerciais com países do Leste Europeu, bem como embaixadas e missões diplomáticas na região, devem considerar este vetor em seus modelos de ameaça. ## Referências - [MITRE ATT&CK - S0260](https://attack.mitre.org/software/S0260)