# Exaramel for Linux > Tipo: **malware** · S0401 · [MITRE ATT&CK](https://attack.mitre.org/software/S0401) ## Descrição [[s0401-exaramel-for-linux|Exaramel for Linux]] é um backdoor escrito na linguagem de programação Go e compilado como binário ELF de 64 bits, utilizado pelo [[g0034-sandworm|Sandworm Team]] (Unidade 74455 do GRU russo). A versão para Windows é rastreada separadamente sob [[s0343-exaramel-for-windows|Exaramel for Windows]]. O Exaramel é considerado uma versão atualizada e refatorada do malware Industroyer/Crashoverride, usado no ataque à rede elétrica ucraniana em 2016. O backdoor implementa persistência via serviços systemd (T1543.002) ou tarefas cron (T1053.003), garantindo reinício automático mesmo após reboot do sistema. Utiliza criptografia para proteger seus arquivos de configuração em disco e estabelece comunicação C2 via HTTP com suporte a canais alternativos de fallback (T1008). O uso de Go para compilação cria binários autocontidos que funcionam sem dependências externas, facilitando o deployment em múltiplas distribuições Linux. As capacidades do Exaramel for Linux incluem: execução de comandos shell, upload/download de arquivos, elevação de privilégios via setuid/setgid (T1548.001) e exclusão de arquivos para encobrir rastros (T1070.004). O Sandworm Team é o mais destrutivo dos grupos APT russos, responsável por ataques à infraestrutura crítica ucraniana e ao ataque NotPetya de 2017 - o mais custoso da história, com danos estimados em 10 bilhões de dólares. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1543-create-or-modify-system-process|T1543 - Creaté or Modify System Process]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1543-002-systemd-service|T1543.002 - Systemd Service]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1548-001-setuid-and-setgid|T1548.001 - Setuid and Setgid]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1053-003-cron|T1053.003 - Cron]] ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] ## Detecção - Monitorar criação de novos serviços systemd por processos não-administrativos ou scripts não reconhecidos (T1543.002) - Verificar tarefas cron adicionadas para usuários do sistema por processos não-esperados (T1053.003) - Detectar binários ELF de 64 bits Go desconhecidos em diretórios de sistema ou temp - binários Go autocontidos têm características de tamanho e estrutura distintas - Monitorar comunicação HTTP de saída com fallback para canais alternativos por processos de sistema inesperados (T1008, T1071.001) - Verificar modificações em arquivos de configuração de systemd ou cron por processos não-administração de sistema ## Relevância LATAM/Brasil O [[g0034-sandworm|Sandworm Team]] representa uma ameaça à infraestrutura crítica global. O Brasil, com infraestrutura crítica de energia (Petrobras, ONS), telecomúnicações e sistemas financeiros baseados em Linux, é um alvo potencial de operações de sabotagem ou espionagem de atores estatais russos, especialmente em contextos de tensão geopolítica. O ataque NotPetya de 2017 demonstrou o alcance global não seletivo de operações do Sandworm. Administradores de sistemas Linux em infraestrutura crítica brasileira devem monitorar serviços systemd não reconhecidos e auditar binários Go executando em seus ambientes. ## Referências - [MITRE ATT&CK - S0401](https://attack.mitre.org/software/S0401)