# Heyoka Backdoor > Tipo: **malware** · S1027 · [MITRE ATT&CK](https://attack.mitre.org/software/S1027) ## Descrição [[s1027-heyoka-backdoor|Heyoka Backdoor]] é um backdoor personalizado desenvolvido com base na ferramenta de exfiltração DNS de código aberto "Heyoka", utilizado exclusivamente pelo grupo de espionagem [[g1007-aoqin-dragon|Aoqin Dragon]] desde pelo menos 2013. O Aoqin Dragon é um ator de ameaça de língua chinesa que foca primariamente em organizações governamentais, educacionais e de telecomúnicações no Sudeste Asiático e Oceania. O backdoor é entregue após comprometimento inicial, frequentemente via documentos maliciosos, e utiliza tunelamento DNS como canal de comunicação C2 - uma técnica altamente eficaz para evadir proxies web e firewalls corporativos. A característica mais notável do Heyoka Backdoor é o uso de tunelamento DNS bidirecional para comunicação C2, codificando dados em consultas e respostas DNS para contornar controles de rede. O malware implementa DLL injection para execução em contexto de processos legítimos, e usa técnicas de mascaramento de serviço para persistência. Suas capacidades incluem descoberta de sistema, arquivos e processos, além de download de payloads adicionais. O backdoor verifica a presença de mídia removível para identificar possíveis vetores de movimentação lateral. A escolha de DNS como canal C2 é estratégicamente significativa: DNS raramente é bloqueado completamente em ambientes corporativos (pois quebraria a resolução de nomes legítima), e o tráfego de tunelamento DNS muitas vezes não é inspecionado pelos proxies web. O Aoqin Dragon manteve acesso persistente a algumas organizações por até dez anos usando essa técnica, demonstrando a eficácia do Heyoka Backdoor como ferramenta de espionagem de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] ## Grupos que Usam - [[g1007-aoqin-dragon|Aoqin Dragon]] ## Detecção A detecção do Heyoka Backdoor requer monitoramento focado em tunelamento DNS. Ferramentas de análise de DNS devem alertar para subdomínios incomumente longos, alta frequência de consultas para um mesmo domínio pai, e padrões de codificação base64/hex em labels de subdomínio. Soluções de DNS Filtering (como Cisco Umbrella, Infoblox) com análise de entropia de nomes são eficazes. No endpoint, monitorar injeção de DLL em processos legítimos e criação de serviços com nomes que imitam serviços do sistema é prioritário. O mascaramento de serviço pode ser detectado comparando o nome do serviço com o binário real que o implementa. ## Relevância LATAM/Brasil O [[g1007-aoqin-dragon|Aoqin Dragon]] opera primariamente no Sudeste Asiático, tornando o risco direto ao Brasil baixo. Entretanto, as técnicas de tunelamento DNS utilizadas pelo Heyoka Backdoor são amplamente relevantes para o contexto brasileiro. Grupos de espionagem industrial que atacam setores de energia, mineração e agronegócio no Brasil frequentemente usam DNS tunneling como canal C2 para exfiltrar dados de redes corporativas com proxies HTTP/S agressivos. Organizações brasileiras com presença na Ásia-Pacífico devem manter vigilância adicional sobre tráfego DNS. ## Referências - [MITRE ATT&CK - S1027](https://attack.mitre.org/software/S1027) - [SentinelOne - Aoqin Dragon: Decade of Espionage Targeting Southeast Asia](https://www.sentinelone.com/labs/aoqin-dragon-seeking-southeast-asian-targets/)