# RotaJákiro > Tipo: **malware** · S1078 · [MITRE ATT&CK](https://attack.mitre.org/software/S1078) ## Descrição [[s1078-rotajkiro|RotaJákiro]] é um backdoor Linux de 64 bits utilizado pelo [[g0050-apt32|APT32]] (OceanLotus), grupo de espionagem cibernética atribuído ao Vietnã. Observado pela primeira vez em 2018 - mas identificado públicamente apenas em 2021 após análise de amostras antigas - , o malware permaneceu indetectado por anos, passando despercebido por soluções antivírus, o que evidência seu elevado grau de sofisticação. Utiliza uma arquitetura de plugins para estender suas capacidades dinâmicamente, permitindo que novos módulos sejam carregados remotamente. O [[s1078-rotajkiro|RotaJákiro]] é capaz de determinar seu nível de permissão e executar ações diferenciadas conforme o tipo de acesso (`root` ou `user`). Quando executado como root, instala-se como um serviço systemd ([[t1543-002-systemd-service|T1543.002]]) ou como script de inicialização, garantindo persistência mesmo após reinicializações. Com permissões de usuário comum, opta por entradas XDG autostart ([[t1547-013-xdg-autostart-entries|T1547.013]]) e modificações na configuração do shell Unix ([[t1546-004-unix-shell-configuration-modification|T1546.004]]). O malware emprega múltiplas camadas de ofuscação: utiliza AES para criptografar seus recursos e dados de configuração, compressão ZLIB para reduzir o tamanho dos dados transmitidos, e comunicação com portas não padrão ([[t1571-non-standard-port|T1571]]) para dificultar a detecção. O nome do processo é disfarçado para imitar binários legítimos do sistema Linux, tornando a detecção por análise de processos ativos muito difícil. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1546-004-unix-shell-configuration-modification|T1546.004 - Unix Shell Configuration Modification]] - [[t1106-native-api|T1106 - Native API]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1037-boot-or-logon-initialization-scripts|T1037 - Boot or Logon Initialization Scripts]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1543-002-systemd-service|T1543.002 - Systemd Service]] - [[t1129-shared-modules|T1129 - Shared Modules]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1559-inter-process-communication|T1559 - Inter-Process Commúnication]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1547-013-xdg-autostart-entries|T1547.013 - XDG Autostart Entries]] ## Grupos que Usam - [[g0050-apt32|APT32]] ## Detecção - Auditar serviços systemd recém-criados que imitam nomes de binários legítimos do sistema - Monitorar modificações em arquivos de configuração de shell (`.bashrc`, `.profile`) por processos não interativos - Inspecionar conexões de saída em portas não padrão a partir de processos sem interação com o usuário - Realizar análise de comportamento de processos em sistemas Linux (ex: auditd, eBPF-based tools como Falco) - Verificar hashes de binários do sistema contra baselines conhecidos para detectar masquerading ## Relevância LATAM/Brasil O [[s1078-rotajkiro|RotaJákiro]] é particularmente relevante para organizações brasileiras que operam infraestruturas Linux - incluindo provedores de internet, empresas de tecnologia, servidores de aplicações e ambientes de cloud-native. O [[g0050-apt32|APT32]] tem histórico de operações na América do Sul, e a capacidade de permanecer oculto por anos em sistemas Linux representa uma ameaça concreta para ambientes de produção que carecem de monitoramento comportamental em nível de SO. ## Referências - [MITRE ATT&CK - S1078](https://attack.mitre.org/software/S1078)