s1076-quietcanary - RunkIntel

# QUIETCANARY > Tipo: **malware** · S1076 · [MITRE ATT&CK](https://attack.mitre.org/software/S1076) ## Descrição [[s1076-quietcanary|QUIETCANARY]] (também rastreado como Tunnus) é uma ferramenta backdoor escrita em .NET utilizada desde pelo menos 2022 para coletar e exfiltrar dados de redes de vítimas. O malware foi atribuído a operações de espionagem cibernética conduzidas contra alvos de alto valor em setores governamentais e de inteligência. O QUIETCANARY utiliza criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) para proteger suas comúnicações C2 via protocolos web ([[t1071-001-web-protocols|T1071.001]]), além de ofuscar e decodificar componentes em memória ([[t1140-deobfuscatedecode-files-or-information|T1140]]). O malware realiza staging de dados coletados ([[t1074-data-staged|T1074]]) antes da exfiltração, e opera com jánelas ocultas ([[t1564-003-hidden-window|T1564.003]]) para evitar detecção visual. Consultas ao Registro do Windows ([[t1012-query-registry|T1012]]) e codificação de dados ([[t1132-001-standard-encoding|T1132.001]]) completam seu conjunto de técnicas de evasão. Como implant de coleta de dados, o QUIETCANARY é projetado para operar silenciosamente por períodos prolongados, priorizando a manutenção do acesso e a exfiltração persistente sobre ações disruptivas. Seu uso de APIs nativas do Windows ([[t1106-native-api|T1106]]) minimiza a pegada no sistema e complica a análise forense. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - [[t1074-data-staged|T1074 - Data Staged]] - [[t1106-native-api|T1106 - Native API]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] ## Detecção A detecção do QUIETCANARY requer monitoramento de processos .NET anômalos que realizam consultas ao Registro ([[t1012-query-registry|T1012]]) combinadas com tráfego HTTP cifrado. Ferramentas EDR com capacidade de análise comportamental de processos .NET são mais eficazes que soluções baseadas em assinaturas. Monitorar criação de jánelas ocultas por aplicações não reconhecidas e staging de dados em diretórios temporários são sinais adicionais de comprometimento. ## Relevância LATAM/Brasil Embora o QUIETCANARY tenha sido documentado principalmente em operações de espionagem direcionadas a países da Europa Oriental e Ásia Central, suas técnicas de implant .NET com comunicação C2 cifrada são representativas de uma classe de malware crescentemente usada por grupos que operam contra alvos governamentais e corporativos na América Latina. Organizações brasileiras em setores estratégicos como defesa, diplomacia e tecnologia devem considerar este malware como referência ao modelar ameaças de espionagem avançada. ## Referências - [MITRE ATT&CK - S1076](https://attack.mitre.org/software/S1076)