s0376-hoplight - RunkIntel

# HOPLIGHT > Tipo: **malware** · S0376 · [MITRE ATT&CK](https://attack.mitre.org/software/S0376) ## Descrição [[s0376-hoplight|HOPLIGHT]] é um Trojan backdoor atribuído ao governo norte-coreano, utilizado pelos grupos [[g0032-lazarus-group|Lazarus Group]] e [[g0082-apt38|APT38]] - ambos vinculados às operações cibernéticas da Coreia do Norte. Identificado pelo FBI e pela CISA em 2019 via MAR (Malware Analysis Report), o HOPLIGHT foi associado a operações de espionagem financeira e exfiltração de dados contra instituições financeiras internacionais. A combinação de Lazarus Group e APT38 como operadores sugere uso tanto em operações de espionagem quanto em operações de crime financeiro cibernético. O HOPLIGHT implementa funcionalidades robustas de backdoor: executa comandos arbitrários via shell Windows, lê e escreve arquivos no sistema comprometido, injeta código em processos remotos, e modifica o registro. Uma característica diferencial é o suporte a proxy para rotear comúnicações C2 através de intermediários, dificultando o rastreamento da infraestrutura de comando. O malware também usa canais de fallback quando o C2 principal não responde - aumentando sua resiliência operacional. Técnicas de Pass-the-Hash foram documentadas como parte do toolkit de movimentação lateral associado ao HOPLIGHT. A implantação do HOPLIGHT em sistemas-alvo frequentemente é precedida por acesso inicial via spear-phishing ou exploração de vulnerabilidades em sistemas expostos à internet. Uma vez instalado, o malware usa comunicação C2 em portas não-padrão para evadir regras de firewall baseadas em portas convencionais. A análise forense de amostras revelou rotinas anti-análise e verificações de ambiente para detectar execução em sandbox. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1652-device-driver-discovery|T1652 - Device Driver Discovery]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1090-proxy|T1090 - Proxy]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1550-002-pass-the-hash|T1550.002 - Pass the Hash]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - Windows Management Instrumentation Event Subscription]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] - [[g0082-apt38|APT38]] ## Detecção A detecção do HOPLIGHT deve priorizar os IoCs públicados pelo FBI/CISA no MAR original: hashes de amostras conhecidas, domínios C2 e padrões de tráfego de rede em portas não-padrão. No endpoint, monitorar Event ID 4688 para criação de processos com argumentos suspeitos e Event ID 7045 para novos serviços. A técnica de Pass-the-Hash pode ser detectada via alertas em Event ID 4624 com tipo de logon 3 sem correspondência de ticket Kerberos. Ferramentas de threat hunting que buscam processos com conexões de rede em portas altas (acima de 1024) para IPs externos não categorizados são eficazes. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] e o [[g0082-apt38|APT38]] têm histórico documentado de ataques a bancos latino-americanos, incluindo o famoso ataque ao Banco do Chile em 2018 e tentativas contra o sistema SWIFT de bancos brasileiros. O HOPLIGHT representa o toolkit de acesso persistente que precede ataques financeiros de alto impacto - o tipo de ameaça mais diretamente relevante para o setor financeiro brasileiro. Bancos, fintechs e operadoras de pagamento no Brasil devem monitorar específicamente TTPs do Lazarus Group e manter defensas contra Pass-the-Hash e movimentação lateral. ## Referências - [MITRE ATT&CK - S0376](https://attack.mitre.org/software/S0376) - [CISA/FBI MAR-10135536-21 - HOPLIGHT](https://www.cisa.gov/uscert/ncas/analysis-reports/ar21-048b) - [US-CERT - HIDDEN COBRA – North Korean Malicious Cyber Activity](https://www.cisa.gov/uscert/northkorea)