# Klackring > Tipo: **backdoor** · [MITRE ATT&CK](https://attack.mitre.org/software/S0356) ## Descrição [[s0356-klackring|Klackring]] é um backdoor atribuído ao [[g0022-apt3|APT3]], grupo de espionagem cibernética chinês com possíveis vínculos ao Ministério de Segurança do Estado da China (MSS), ativo em campanhas de espionagem industrial contra alvos nos Estados Unidos e outros países ocidentais desde pelo menos 2010. O [[s0356-klackring|Klackring]] foi utilizado em campanhas junto com outras ferramentas do [[g0022-apt3|APT3]] como PlugX, HTTPBrowser e Double Agent, representando uma das múltiplas ferramentas de acesso remoto no arsenal do grupo. As funcionalidades do [[s0356-klackring|Klackring]] incluem execução de comandos remotos via Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]), descoberta do sistema ([[t1082-system-information-discovery|T1082]]) e de arquivos ([[t1083-file-and-directory-discovery|T1083]]), transferência de arquivos ([[t1105-ingress-tool-transfer|T1105]]) e comunicação C2 via protocolos web ([[t1071-001-web-protocols|T1071.001]]). Persistência via registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) garante sobrevivência a reinicializações. A exfiltração de dados ocorre pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O [[g0022-apt3|APT3]] foi particularmente ativo na exploração de vulnerabilidades zero-day em navegadores e plugins (Flash, Java, IE) para entrega inicial de malware, diferenciando-o de outros grupos APT que dependem mais de spearphishing. O [[s0356-klackring|Klackring]] era tipicamente instalado após o comprometimento inicial via exploit de navegador, funcionando como implante de acesso persistente de longo prazo nos sistemas comprometidos. O grupo foi desativado ou significativamente reduzido após o acordo bilateral EUA-China de 2015 sobre ciberespionagem, embora atividades relacionadas tenham continuado sob diferentes identificadores. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0022-apt3|APT3]] ## Detecção Detecção do [[s0356-klackring|Klackring]] segue padrões de detecção de backdoors Windows simples. Monitorar: processos criando conexões HTTP regulares para domínios externos registrados recentemente; executáveis em diretórios de usuário com comportamento de descoberta de sistema; e entradas de autorun no registro criadas fora de jánelas de instalação. Análise de tráfego de rede para identificar padrões de beacon regulares é eficaz para detectar backdoors ativos. ## Relevância LATAM/Brasil O [[g0022-apt3|APT3]] focou em setores de alta tecnologia e defesa nos Estados Unidos e Europa, com relevância para o Brasil principalmente em contexto de empresas brasileiras com parcerias ou joint ventures em setores estratégicos com empresas americanas. O caso do [[g0022-apt3|APT3]] é um exemplo paradigmático de espionagem industrial patrocinada por Estado que custou bilhões à economia americana - lição relevante para formuladores de política de cibersegurança no Brasil ao avaliar riscos de parcerias tecnológicas com potências que conduzem espionagem industrial sistemática. ## Referências - [MITRE ATT&CK](https://attack.mitre.org)