# xCaon > Tipo: **malware** · S0653 · [MITRE ATT&CK](https://attack.mitre.org/software/S0653) ## Descrição [[s0653-xcaon|xCaon]] é uma variante HTTP da família de malware BoxCaon, utilizada pelo [[g0136-indigozebra|IndigoZebra]] desde pelo menos 2014. O malware foi empregado em ataques direcionados a entidades políticas na Ásia Central, incluindo Quirguistão e Uzbequistão, em campanhas de espionagem que demonstram interesse do ator em governos da região pós-soviética da Ásia Central. Do ponto de vista técnico, o xCaon é um backdoor que utiliza HTTP como protocolo de comunicação C2, distinguindo-se de outras variantes da família BoxCaon que podem usar outros protocolos. O malware estabelece persistência via boot/logon autostart execution, realiza descoberta de configuração de rede e software de segurança instalado, coleta dados do sistema local e exfiltra via canal C2 com criptografia simétrica. O uso de encoding padrão e decodificação de arquivos permite ao operador trocar comandos de forma ofuscada. O [[g0136-indigozebra|IndigoZebra]] é um grupo APT atribuído à China por pesquisadores de segurança, com operações documentadas desde pelo menos 2014 na Ásia Central. O grupo utiliza diferentes ferramentas da família BoxCaon/xCaon como parte de seu arsenal de espionagem, adaptando seus implants conforme os alvos e necessidades operacionais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1547-boot-or-logon-autostart-execution|T1547 - Boot or Logon Autostart Execution]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1106-native-api|T1106 - Native API]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g0136-indigozebra|IndigoZebra]] ## Detecção A detecção do xCaon deve focar em: novos entradas de autostart (registro ou pasta de inicialização) criadas por processos incomuns, comúnicações HTTP com padrão de beacon para destinos não documentados, e descoberta de software de segurança por processos não relacionados a ferramentas de inventário legítimas. Análise de tráfego HTTP para padrões de encoding de dados em parâmetros de URL ou corpo de requisição pode revelar comandos C2 ofuscados. ## Relevância LATAM/Brasil O [[g0136-indigozebra|IndigoZebra]] tem foco geográfico na Ásia Central, com pouca presença documentada na América Latina. No entanto, suas técnicas de backdoor HTTP com persistência via autostart e coleta de dados locais são representativas de uma ampla classe de ameaças de espionagem que organizações brasileiras podem enfrentar de outros grupos. A família BoxCaon/xCaon serve como referência para o desenvolvimento de regras de detecção de backdoors HTTP com padrões similares de comunicação e persistência. ## Referências - [MITRE ATT&CK - S0653](https://attack.mitre.org/software/S0653)