# FELIXROOT > Tipo: **malware** · S0267 · [MITRE ATT&CK](https://attack.mitre.org/software/S0267) ## Descrição [[s0267-felixroot|FELIXROOT]] (também conhecido como GreyEnergy mini) é um backdoor utilizado em campanhas de espionagem direcionadas principalmente a vítimas ucranianas, associado ao grupo GreyEnergy - considerado um subconjunto ou sucessor do grupo Sandworm/BlackEnergy. O malware foi identificado em campanhas que usavam documentos de spear-phishing com tema de segurança nuclear e infraestrutura crítica ucraniana como isca. O FELIXROOT coleta um vasto conjunto de informações do sistema comprometido: informações de hardware, nome do computador, dados de rede, informações do proprietário, processos em execução, software instalado e indicadores de presença de software de segurança (T1518.001). Todas essas informações são comprimidas e exfiltradas para os servidores C2 via HTTP. A persistência é estabelecida via modificação de atalhos LNK (T1547.009) e modificações no registro do Windows. O malware utiliza múltiplas técnicas de evasão: armazenamento de sua configuração em arquivos criptografados, uso de Rundll32 para execução de payloads, e modificação de entradas de registro para garantir que o malware inicie junto com o sistema. O FELIXROOT representa a tendência de grupos de ameaça de nação-estado de criar ferramentas modulares com foco em coleta silenciosa de inteligência antes de operações destrutivas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] ## Detecção - Monitorar modificações em arquivos LNK (atalhos) em diretórios de inicialização e Desktop - técnica de persistência característica do FELIXROOT (T1547.009) - Detectar uso de Rundll32 (T1218.011) para carregar DLLs a partir de diretórios não-Windows - Alertar sobre coleta sistêmica de informações de sistema (hostname, usuário, rede, processos, software instalado) em curto período de tempo por um único processo - Monitorar arquivos criptografados criados em diretórios temporários por processos suspeitos - configuração do FELIXROOT é armazenada criptografada em disco (T1027.013) - Correlacionar documentos de spear-phishing com tema de infraestrutura crítica com execução de novos processos em sessões de usuário ## Relevância LATAM/Brasil O grupo GreyEnergy/FELIXROOT foca em infraestrutura crítica ucraniana, mas suas TTPs são compartilhadas com grupos que atacam infraestrutura crítica globalmente. O Brasil, como operador de infraestrutura crítica estratégica (energia, telecomúnicações, sistema financeiro), enfrenta ameaças de atores com capacidades similares. A técnica de spear-phishing com documentos de infraestrutura crítica como isca é amplamente utilizada por múltiplos grupos APT que operam na América Latina. Organizações do setor elétrico e de petróleo e gás no Brasil devem monitorar TTPs de grupos relacionados ao GreyEnergy. ## Referências - [MITRE ATT&CK - S0267](https://attack.mitre.org/software/S0267)