s0275-uppercut - RunkIntel

# UPPERCUT > Tipo: **malware** · S0275 · [MITRE ATT&CK](https://attack.mitre.org/software/S0275) ## Descrição [[s0275-uppercut|UPPERCUT]] (também conhecido como ANEL) é um backdoor sofisticado utilizado pelo grupo [[g0045-apt10|menuPass]], ator de ameaça persistente avançada associado à China (APT10). O malware foi identificado em campanhas de espionagem direcionadas a organizações jáponesas e a setores estratégicos como defesa, manufatura e tecnologia. Do ponto de vista técnico, o UPPERCUT fornece ao operador capacidades abrangentes de reconhecimento e controle: captura de tela, descoberta de arquivos e diretórios, coleta de informações do sistema e da rede, execução de comandos via shell Windows e transferência de ferramentas adicionais. As comúnicações com o servidor C2 são criptografadas com criptografia simétrica, dificultando a inspeção de tráfego por soluções de segurança. O backdoor faz parte de um arsenal mais amplo do menuPass que inclui ferramentas como PlugX e QuasarRAT, demonstrando a capacidade do grupo de manter uma infraestrutura de ferramentas diversificada para operações de espionagem de longo prazo. O UPPERCUT é tipicamente entregue por documentos maliciosos em campanhas de spearphishing altamente direcionadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0045-apt10|menuPass]] ## Detecção A detecção do UPPERCUT pode ser realizada através de análise de tráfego de rede em busca de comúnicações HTTP/HTTPS cifradas com padrões de beacon regulares. Monitorar processos que realizam captura de tela, descoberta extensiva de arquivos e conexões de rede suspeitas em sequência é um indicador forte de comprometimento. Regras YARA baseadas nas strings e estruturas internas do malware documentadas em relatórios de ameaça são eficazes. ## Relevância LATAM/Brasil O grupo [[g0045-apt10|menuPass]] (APT10) expandiu historicamente suas operações além do Jápão para alvos globais, incluindo empresas multinacionais com operações na América Latina. Organizações brasileiras nos setores de manufatura, tecnologia e defesa que mantêm parceiros jáponeses ou americanos devem considerar o risco de comprometimento via cadeia de suprimentos, um vetor preferido pelo menuPass em suas campanhas de espionagem. ## Referências - [MITRE ATT&CK - S0275](https://attack.mitre.org/software/S0275)