# FatDuke > Tipo: **malware** · S0512 · [MITRE ATT&CK](https://attack.mitre.org/software/S0512) ## Descrição [[s0512-fatduke|FatDuke]] é um backdoor sofisticado utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear / SVR) desde pelo menos 2016 em campanhas de espionagem de longo prazo. O FatDuke é componente do arsenal de múltiplas ferramentas do APT29, que inclui a família Duke (MiniDuke, CosmicDuke, OnionDuke), e representa uma ferramenta de acesso mantido após comprometimento inicial por outros vetores. O FatDuke implementa múltiplas técnicas anti-análise: verificações baseadas em tempo para detectar sandbox (T1497.003), impressão digital do navegador para verificar o ambiente (T1036.012), e uso de empacotamento de software para ofuscar seu código (T1027.002). O malware opera como proxy interno para comunicação C2, suportando canais de fallback para garantir resiliência mesmo quando um canal C2 é bloqueado (T1008). A persistência é garantida via chaves de Run no registro do Windows. O [[g0016-apt29|APT29]] é o grupo de espionagem do Serviço de Inteligência Estrangeiro russo (SVR) responsável pela operação SolarWinds (SUNBURST) e pelo ataque ao Comitê Nacional Democrata dos EUA. O FatDuke é empregado em campanhas de espionagem contra governos, organizações de pesquisa e think tanks ocidentais - cenário de longo prazo em que o acesso persistente e discreto é prioritário sobre ações destrutivas imediatas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1012-query-registry|T1012 - Query Registry]] - [[t1036-012-browser-fingerprint|T1036.012 - Browser Fingerprint]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1106-native-api|T1106 - Native API]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção - Detectar verificações de fingerprinting de navegador por processos não-navegador - indicativo de backdoor tentando verificar o ambiente (T1036.012) - Monitorar chaves de Run no registro do Windows criadas por processos não-instaladores (T1547.001) - Alertar sobre comunicação de rede com canais de fallback múltiplos por um único processo (T1008) - padrão de C2 resiliente do APT29 - Detectar uso de proxy interno: processos que roteiam tráfego de outros processos para IPs externos (T1090.001) - Implementar hunting baseado em YARA para padrões de empacotamento característicos da família Duke (T1027.002) ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] (SVR russo) é considerado um dos mais sofisticados grupos APT do mundo, realizando espionagem estratégica de longo prazo. Organizações brasileiras com relevância geopolítica - Ministério das Relações Exteriores, Petrobras, empresas de tecnologia com contratos governamentais - são potencialmente alvejadas por operações de inteligência russas. A operação SolarWinds demonstrou o alcance global do APT29, com impacto em mais de 100 organizações em múltiplos países. Embora o Brasil não sejá alvo primário documentado do APT29, a inteligência sobre TTPs é crítica para organizações com interações com parceiros internacionais potencialmente comprometidos. ## Referências - [MITRE ATT&CK - S0512](https://attack.mitre.org/software/S0512)