# Penquin > Tipo: **malware** · S0587 · [MITRE ATT&CK](https://attack.mitre.org/software/S0587) ## Descrição [[s0587-penquin|Penquin]] é um RAT (trojan de acesso remoto) com múltiplas versões utilizado pelo [[g0010-turla|Turla]] (Snake/Venomous Bear), grupo de espionagem russo do FSB, para atacar sistemas Linux desde pelo menos 2014. O Penquin é a contraparte Linux do extenso arsenal do [[g0010-turla|Turla]], que tipicamente foca em sistemas Windows mas mantém capacidades cross-platform para comprometer servidores. O malware usa traffic signaling com socket filters para escutar pacotes de rede específicos sem abrir portas listening - permanecendo completamente invisível a varreduras de portas convencionais. Esta técnica de "passive backdoor" ativa o malware apenas quando recebe um pacote com características pré-definidas, tornando a detecção extremamente difícil. Usa criptografia assimétrica nas comúnicações e sniffing de rede para coleta de inteligência adicional. O [[g0010-turla|Turla]] utilizou o Penquin para comprometer roteadores domésticos e servidores Linux de organizações como vetor de acesso persistente de longo prazo, frequentemente sem ser detectado por anos. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1205-traffic-signaling|T1205 - Traffic Signaling]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1053-003-cron|T1053.003 - Cron]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1027-005-indicator-removal-from-tools|T1027.005 - Indicator Removal from Tools]] - [[t1222-002-linux-and-mac-file-and-directory-permissions-modification|T1222.002 - Linux and Mac File and Directory Permissions Modification]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1205-002-socket-filters|T1205.002 - Socket Filters]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0010-turla|Turla]] ## Detecção - Implementar packet capture e análise de tráfego de entrada em servidores Linux para detectar padrões de traffic signaling ([[t1205-traffic-signaling|T1205]]) - Monitorar socket filters (BPF) instalados por processos não-kernel ([[t1205-002-socket-filters|T1205.002]]) - Auditar cron jobs e processos em execução regularmente em servidores Linux críticos ([[t1053-003-cron|T1053.003]]) - Verificar integridade de binários do sistema via checksums regulares (detecção de indicator removal) ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] representa uma das maiores ameaças de espionagem cibernética de longo prazo. A capacidade do Penquin de comprometer servidores Linux sem abrir portas visíveis é relevante para o Brasil, onde servidores Linux hospedando infraestrutura crítica - incluindo servidores do governo federal, universidades e provedores de internet - são alvos de alto valor. A técnica de passive backdoor via traffic signaling pode resultar em comprometimento de longa duração não-detectado em ambientes sem monitoramento avançado de rede. ## Referências - [MITRE ATT&CK - S0587](https://attack.mitre.org/software/S0587)