# QUADAGENT > Tipo: **malware** · S0269 · [MITRE ATT&CK](https://attack.mitre.org/software/S0269) ## Descrição [[s0269-quadagent|QUADAGENT]] é um backdoor em PowerShell utilizado pelo [[g0049-oilrig|OilRig]] (APT34), grupo de ameaça persistente avançada com nexo ao Irã. O malware foi identificado em campanhas direcionadas a organizações governamentais e de infraestrutura crítica no Oriente Médio, operando como um implant de segundo estágio após o acesso inicial. O QUADAGENT suporta múltiplos canais de comunicação C2, incluindo [[t1071-004-dns|DNS]] e [[t1071-001-web-protocols|HTTP/HTTPS]], com mecanismo de canal de fallback ([[t1008-fallback-channels|T1008]]) para garantir conectividade mesmo quando um canal é bloqueado. O malware armazena configurações no Registro do Windows ([[t1027-011-fileless-storage|T1027.011]]) para evitar gravação de arquivos em disco, e utiliza ofuscação de comandos PowerShell ([[t1027-010-command-obfuscation|T1027.010]]) e codificação Base64 para dificultar análise. Cada instância se disfarça com nomes de arquivos que imitam componentes legítimos do sistema ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]). Como parte do arsenal do [[g0049-oilrig|OilRig]], o QUADAGENT coexiste com outros implants do grupo como [[dnstwist|DNSTwist]] e [[s0495-rdat|RDAT]], sendo tipicamente implantado para coleta de informações de sistema, execução de comandos remotos e exfiltração de dados. O uso de VBScript ([[t1059-005-visual-basic|T1059.005]]) como método de execução complementar ao PowerShell demonstra a versatilidade do malware para operar em diferentes configurações de política de segurança. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-004-dns|T1071.004 - DNS]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1112-modify-registry|T1112 - Modify Registry]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção A detecção do QUADAGENT é desafiadora dado seu uso de PowerShell ofuscado e armazenamento fileless no Registro. Monitorar execuções de PowerShell com parâmetros de codificação Base64 ([[t1027-010-command-obfuscation|T1027.010]]), consultas DNS anômalas de processos não-DNS ([[t1071-004-dns|T1071.004]]), e modificações no Registro do Windows por processos de script são os principais vetores de detecção. Regras Sigma para detecção de PowerShell suspeito combinado com tráfego DNS codificado são eficazes contra este malware. ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] opera primariamente no Oriente Médio, com foco em alvos governamentais e de petróleo e gás. No contexto LATAM e Brasil, o QUADAGENT é de interesse principalmente como referência de técnicas - o uso de PowerShell com múltiplos canais C2 e armazenamento fileless é amplamente adotado por outros grupos que operam na região. Organizações brasileiras no setor de energia e petroquímica devem monitorar TTPs do OilRig como parte de exercícios de threat intelligence e simulação de adversários. ## Referências - [MITRE ATT&CK - S0269](https://attack.mitre.org/software/S0269)