s0381-flyagent - RunkIntel

# FlyAgent > Tipo: **backdoor** · [MITRE ATT&CK](https://attack.mitre.org/groups/G0067/) ## Descrição [[s0381-flyagent|FlyAgent]] é um backdoor simples atribuído ao grupo de ameaça persistente avançada [[g0067-apt37|APT37]] (também conhecido como Reaper, Group 123, ScarCruft), vinculado à Coreia do Norte. O malware foi identificado em campanhas de espionagem contra alvos sul-coreanos por volta de 2016-2017, sendo utilizado como ferramenta de acesso inicial e reconhecimento. O [[s0381-flyagent|FlyAgent]] é distribuído principalmente por meio de documentos HWP (Hangul Word Processor) maliciosos, formato amplamente utilizado na Coreia do Sul em contextos governamentais e corporativos. O [[s0381-flyagent|FlyAgent]] estabelece comunicação C2 através de protocolos web padrão, coletando informações básicas do sistema e aguardando comandos do operador para execução de ações adicionais. Funciona como um implante de primeiro estágio que válida o ambiente comprometido antes de implantar ferramentas mais avançadas do arsenal do [[g0067-apt37|APT37]], como o ROKRAT ou RICECURRY. A persistência é mantida via chaves de registro Run, e o malware usa técnicas de evasão para evitar detecção por produtos de segurança instalados. O [[g0067-apt37|APT37]] é um grupo prolífico que tem expandido seus alvos além da Península Coreana para incluir Jápão, Vietnam, Oriente Médio e, ocasionalmente, defectores norte-coreanos em outros países. A simplicidade do FlyAgent é intencional - ferramentas minimalistas de primeiro estágio reduzem a exposição e são mais difíceis de detectar do que implantes completos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0067-apt37|APT37]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar processos filhos de documentos HWP (especialmente em ambientes não-coreanos) > - Detectar criação de chaves de registro Run por processos com nomes aleatórios ou genéricos > - Alertar sobre conexões HTTP/HTTPS para domínios recém-registrados a partir de documentos abertos > - Identificar processos cmd.exe iniciados por aplicativos Office ou similares > - Monitorar transferências de ferramentas adicionais (ingress tool transfer) logo após abertura de documentos ## Relevância LATAM/Brasil O [[g0067-apt37|APT37]] tem histórico de expansão geográfica para além de seus alvos primários na Ásia, incluindo operações contra defectores norte-coreanos e organizações relacionadas a direitos humanos em diferentes continentes. O Brasil, como membro do G20 e parceiro comercial da Coreia do Sul, pode ser alvo de operações de espionagem econômica. Mais relevante, as TTPs do FlyAgent como backdoor minimalista de primeiro estágio são representativas de uma classe mais ampla de ameaças que afetam o Brasil, onde documentos maliciosos continuam sendo o principal vetor de entrega de malware APT. ## Referências - [MITRE ATT&CK - APT37 (G0067)](https://attack.mitre.org/groups/G0067/)