# Seasalt > Tipo: **malware** · S0345 · [MITRE ATT&CK](https://attack.mitre.org/software/S0345) ## Descrição [[s0345-seasalt|Seasalt]] é um malware associado às operações do [[g0006-apt1|APT1]] (Comment Crew) - o grupo de espionagem cibernética chinês identificado pelo relatório histórico da Mandiant em 2013, considerado um dos primeiros relatos públicos detalhados de um grupo APT com provável vinculação ao Exército Popular de Libertação (PLA) da China. O [[s0345-seasalt|Seasalt]] foi documentado em operações de 2010 e compartilha algumas semelhanças de código com o [[s0346-oceansalt|OceanSalt]], sugerindo evolução ou reuso de código entre campanhas distintas. O [[s0345-seasalt|Seasalt]] opera como um backdoor clássico com capacidades de shell remoto, download e upload de arquivos, e descoberta de processos e arquivos no sistema comprometido. A persistência é estabelecida via chaves Run do registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) ou instalação como serviço do Windows ([[t1543-003-windows-service|T1543.003]]), com o serviço disfarçado para imitar nomes legítimos do sistema ([[t1036-004-masquerade-task-or-service|T1036.004]]). As comúnicações C2 utilizam protocolos web com dados criptografados/codificados ([[t1027-013-encryptedencoded-file|T1027.013]]). O [[g0006-apt1|APT1]] era conhecido por suas operações de espionagem industrial e econômica em larga escala - o relatório da Mandiant documentou o comprometimento de pelo menos 141 organizações em 20 setores diferentes ao longo de vários anos. O [[s0345-seasalt|Seasalt]] faz parte de um arsenal de backdoors customizados que o grupo utilizava para manter acesso de longo prazo a redes comprometidas, frequentemente permanecendo em ambientes por meses ou anos antes de ser detectado. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0006-apt1|APT1]] ## Detecção - Auditar serviços do Windows com nomes imitando processos legítimos do sistema mas com binários em caminhos incomuns - Monitorar comúnicações HTTP/HTTPS regulares (beaconing) para domínios de baixa reputação - Detectar deleção de arquivos executáveis após sua própria execução (possível autodestruição) - Implementar detecção baseada em comportamento para processos que realizam discovery seguido de comunicação de saída - Verificar integridade de serviços do Windows contra baseline conhecida ## Relevância LATAM/Brasil A métodologia do [[g0006-apt1|APT1]] - espionagem industrial de longo prazo focada em propriedade intelectual e segredos comerciais - é altamente relevante para o Brasil, que possui indústrias estratégicas como petróleo e gás (Petrobras), aeronáutica (Embraer), mineração (Vale) e agronegócio. O reuso de código entre [[s0345-seasalt|Seasalt]] e [[s0346-oceansalt|OceanSalt]] sugere que linhagens de malware APT chinesas evoluem ao longo do tempo, tornando o conhecimento de famílias históricas valioso para identificar variantes modernas. ## Referências - [MITRE ATT&CK - S0345](https://attack.mitre.org/software/S0345)