# Exaramel for Windows > Tipo: **malware** · S0343 · [MITRE ATT&CK](https://attack.mitre.org/software/S0343) ## Descrição [[s0343-exaramel-for-windows|Exaramel for Windows]] é um backdoor utilizado pelo [[g0034-sandworm|Sandworm Team]] para atacar sistemas Windows. A versão para Linux é rastreada separadamente sob [[s0401-exaramel-for-linux|Exaramel for Linux]]. O Exaramel for Windows foi identificado em campanhas do Sandworm contra organizações na Ucrânia e Europa, frequentemente implantado como ferramenta de acesso mantido após comprometimento inicial por outros vetores. O backdoor estabelece persistência como serviço Windows (T1543.003) mascarando sua identidade com nomes que imitam componentes legítimos (T1036.004). Utiliza armazenamento sem arquivo (fileless storage) para guardar configurações em áreas de registro do Windows (T1027.011), evitando artefatos óbvios em disco que poderiam ser detectados por varreduras de antivírus. A comunicação C2 pode ocorrer via Visual Basic scripts (T1059.005) e comandos de shell (T1059.003). A coleta de dados é realizada com compressão e arquivamento antes da exfiltração (T1560), e os dados coletados são armazenados temporariamente em diretórios locais (T1074.001) antes de serem enviados ao servidor C2. O Sandworm Team, unidade de inteligência militar russa (GRU), utiliza o Exaramel como componente de acesso persistente em campanhas de espionagem e sabotagem de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] ## Detecção - Monitorar criação de serviços Windows por processos não-instaladores com nomes que imitam componentes do sistema (T1543.003, T1036.004) - Detectar armazenamento de dados de configuração em chaves de registro não-padrão por processos suspeitos (T1027.011) - Alertar sobre execução de scripts Visual Basic (T1059.005) por serviços do sistema recém-criados - Monitorar compressão e arquivamento de dados por processos não-usuário antes de comunicação de rede (T1560) - Verificar modificações de registro do Windows por processos de serviço não reconhecidos (T1112) ## Relevância LATAM/Brasil O [[g0034-sandworm|Sandworm Team]], responsável pelo NotPetya e ataques à infraestrutura ucraniana, demonstrou capacidade e disposição para operações com impacto global. Organizações brasileiras com operações na Europa Oriental ou que utilizam software com exposição geopolítica são potencialmente vulneráveis a contaminação colateral, como demonstrado pelo NotPetya que afetou empresas globalmente mesmo sem ser o alvo intencional. Organizações de infraestrutura crítica no Brasil devem manter vigilância sobre backdoors do Sandworm e implementar segmentação de rede rigorosa. ## Referências - [MITRE ATT&CK - S0343](https://attack.mitre.org/software/S0343)