# CustomDoor > Tipo: **backdoor** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[s0492-customdoor|CustomDoor]] é um backdoor modular atribuído ao grupo [[g0010-turla|Turla]] (Snake), utilizado em campanhas de espionagem de longo prazo contra organizações governamentais, diplomáticas e militares. Como ferramenta do extenso arsenal do [[g0010-turla|Turla]], o CustomDoor atua como componente de manutenção de acesso persistente, complementando ferramentas de primeiro estágio como o [[s0022-uroburos|Uroburos]] e o [[capibar|Carbon]] em operações de espionagem de alto valor. O [[s0492-customdoor|CustomDoor]] implementa comunicação C2 via protocolos web padrão e DNS, utilizando técnicas de evasão que mesclam tráfego malicioso com comúnicações legítimas. O malware suporta execução de comandos arbitrários via shell do Windows, transferência bidirecional de arquivos e reconhecimento do ambiente comprometido. A natureza modular permite ao operador personalizar as capacidades deployadas em cada alvo com base nos objetivos específicos da operação. O [[g0010-turla|Turla]] é conhecido por manter múltiplos backdoors em ambientes comprometidos simultaneamente, garantindo redundância operacional. O [[s0492-customdoor|CustomDoor]] frequentemente coexiste com outros implantes Turla no mesmo ambiente, tornando a erradicação completa especialmente desafiadora. A longa experiência do grupo em operações persistentes - com comprometimentos documentados por anos - reflete a sofisticação e os recursos de uma organização de inteligência estatal de primeiro nível. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Grupos que Usam - [[g0010-turla|Turla]] ## Detecção - Monitorar consultas DNS incomuns com padrões de encode de dados (TXT records, subdomain data exfil) ([[t1071-004-dns|T1071.004]]) - Detectar comúnicações HTTP para domínios com baixo volume histórico de tráfego ([[t1071-001-web-protocols|T1071.001]]) - Alertar sobre transferências de arquivos via canais C2 em ambientes sensíveis ([[t1105-ingress-tool-transfer|T1105]]) - Implementar threat hunting para múltiplos implantes coexistentes - padrão característico do Turla - Monitorar processos cmd.exe com execuções sequenciais de comandos de reconhecimento ([[t1059-003-windows-command-shell|T1059.003]]) ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] representa uma das ameaças de espionagem mais sofisticadas para organizações com relevância geopolítica. Para o Brasil, missões diplomáticas no exterior, especialmente em Moscou e capitais europeias, são alvos de risco elevado. O Ministério das Relações Exteriores (Itamaraty), a Agência Brasileira de Inteligência (ABIN) e entidades de defesa nacional devem incluir TTPs do Turla em seus modelos de ameaça. A capacidade do grupo de manter presença não detectada por anos demanda programas de threat hunting proativos e não apenas monitoramento reativo. ## Referências - [MITRE ATT&CK - Turla](https://attack.mitre.org/groups/G0010) - [ESET - Turla Malware Arsenal](https://www.welivesecurity.com/en/eset-research/unmasking-turla-new-backdoor-diplomats/)