# RCSession > Tipo: **malware** · S0662 · [MITRE ATT&CK](https://attack.mitre.org/software/S0662) ## Descrição [[s0662-rcsession|RCSession]] é um backdoor escrito em C++ em uso desde pelo menos 2018, utilizado pelo [[g0129-mustang-panda|Mustang Panda]] e pelo [[g0027-threat-group-3390|Threat Group-3390]] (TG-3390, também conhecido como Bronze Union) - dois grupos de espionagem cibernética com nexo à China. O fato de dois grupos distintos utilizarem o mesmo backdoor sugere compartilhamento de ferramentas dentro do ecossistema de grupos APT vinculados ao estado chinês. O RCSession é um backdoor completo com capacidades abrangentes de espionagem: suporta keylogging ([[t1056-001-keylogging|T1056.001]]), captura de tela ([[t1113-screen-capture|T1113]]), comunicação C2 cifrada ([[t1573-encrypted-channel|T1573]]) via HTTP ([[t1071-001-web-protocols|T1071.001]]) e protocolos não-padrão ([[t1095-non-application-layer-protocol|T1095]]), e utiliza process hollowing ([[t1055-012-process-hollowing|T1055.012]]) para injeção em processos legítimos. O malware comprime dados antes da exfiltração ([[t1027-015-compression|T1027.015]]) e mantém persistência via chaves de Run no Registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). O uso por múltiplos grupos APT torna a atribuição de incidentes com RCSession desafiadora. O [[g0129-mustang-panda|Mustang Panda]] tipicamente usa o RCSession contra alvos governamentais, organizações religiosas e ONGs na Ásia e Europa, enquanto o [[g0027-threat-group-3390|Threat Group-3390]] o emprega em campanhas mais amplas de espionagem industrial e governamental. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1573-encrypted-channel|T1573 - Encrypted Channel]] - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1218-007-msiexec|T1218.007 - Msiexec]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1106-native-api|T1106 - Native API]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] ## Grupos que Usam - [[g0027-threat-group-3390|Threat Group-3390]] - [[g0129-mustang-panda|Mustang Panda]] ## Detecção A detecção do RCSession deve focar em process hollowing em processos legítimos do Windows ([[t1055-012-process-hollowing|T1055.012]]) - monitorar threads injetadas em processos como `svchost.exe` é um indicador forte. Tráfego C2 cifrado para endereços externos desconhecidos, combinado com keylogging e capturas de tela periódicas em processos de sistema, deve acionar alertas. Regras YARA para a assinatura do compilador C++ utilizado pelo Mustang Panda podem ajudar na identificação de variantes. ## Relevância LATAM/Brasil O [[g0129-mustang-panda|Mustang Panda]] tem expandido progressivamente seus alvos além da Ásia, com campanhas documentadas contra organizações europeias e, potencialmente, sul-americanas. O Brasil, como um dos maiores parceiros comerciais da China e membro de fóruns multilaterais como BRICS, representa um alvo de interesse crescente para grupos de espionagem de estado chinês. Organizações governamentais brasileiras com envolvimento em negociações diplomáticas, tecnológicas ou comerciais com países asiáticos devem considerar as TTPs do RCSession em seus modelos de ameaça. ## Referências - [MITRE ATT&CK - S0662](https://attack.mitre.org/software/S0662)