s0664-pandora - RunkIntel

# Pandora > Tipo: **malware** · S0664 · [MITRE ATT&CK](https://attack.mitre.org/software/S0664) ## Descrição [[s0664-pandora|Pandora]] é um rootkit de kernel multiestágio com funcionalidade de backdoor utilizado pelo [[g0027-threat-group-3390|Threat Group-3390]] (APT27/Emissary Panda) desde pelo menos 2020, e também pelo [[g1021-cinnamon-tempest|Cinnamon Tempest]]. Como rootkit de nível de kernel, o Pandora opera com os mais altos privilégios possíveis no sistema, tornando-se extremamente difícil de detectar e remover. O malware utiliza traffic signaling - esperando por pacotes de rede com características específicas ("knock") antes de ativar suas funcionalidades backdoor - o que o torna inativo e invisível à maioria das ferramentas de análise até que o operador envie o sinal correto. Modifica as políticas de assinatura de código do Windows para permitir a execução de drivers sem assinatura e injeta código em processos do sistema. A comunicação C2 é cifrada com criptografia simétrica e o tráfego comprimido para minimizar a pegada de rede. Esta combinação de rootkit de kernel + traffic signaling representa uma das capacidades de persistência furtiva mais avançadas documentadas no arsenal de grupos APT chineses. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1205-traffic-signaling|T1205 - Traffic Signaling]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1553-006-code-signing-policy-modification|T1553.006 - Code Signing Policy Modification]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1112-modify-registry|T1112 - Modify Registry]] ## Grupos que Usam - [[g1021-cinnamon-tempest|Cinnamon Tempest]] - [[g0027-threat-group-3390|Threat Group-3390]] ## Detecção - Monitorar modificações nas políticas de assinatura de código do Windows ([[t1553-006-code-signing-policy-modification|T1553.006]]) - Detectar carregamento de drivers não-assinados no kernel ([[t1574-001-dll|T1574.001]]) - Implementar análise de tráfego de rede em busca de padrões de "knocking" ([[t1205-traffic-signaling|T1205]]) - Usar ferramentas de análise de integridade de kernel (ex: Microsoft Defender for Endpoint) para detectar rootkits ## Relevância LATAM/Brasil O [[g0027-threat-group-3390|Threat Group-3390]] opera com objetivos de espionagem de longo prazo, especialmente contra setores de energia, governo e defesa - todos estratégicamente relevantes no Brasil. A capacidade de rootkit de kernel do Pandora o torna uma ameaça de persistência extrema que pode sobreviver a reinstalações de sistema operacional se o bootloader for comprometido. Organizações brasileiras críticas devem implementar Secure Boot e integridade de firmware como defesas fundamentais. ## Referências - [MITRE ATT&CK - S0664](https://attack.mitre.org/software/S0664)