# Samurai > Tipo: **malware** · S1099 · [MITRE ATT&CK](https://attack.mitre.org/software/S1099) ## Descrição [[s1099-samurai|Samurai]] é um backdoor passivo de alta sofisticação utilizado pelo [[g1022-toddycat|ToddyCat]] - grupo de espionagem cibernética identificado pela Kaspersky em 2022, com foco em alvos governamentais e militares na Europa e Ásia - desde pelo menos 2020. Classificado como backdoor "passivo" porque aguarda conexões de entrada do operador em vez de iniciar comunicação ativa com um servidor C2, dificultando a detecção por ferramentas de monitoramento de rede que focam em tráfego de saída. A característica técnica mais notável do [[s1099-samurai|Samurai]] é a capacidade de execução arbitrária de código C# recebido pelo canal de comunicação - os operadores podem enviar módulos C# compilados em tempo real pelo canal C2 ([[t1027-004-compile-after-delivery|T1027.004]]), expandindo as capacidades do malware sem necessidade de redeployment. Isso, combinado com resolução dinâmica de APIs ([[t1027-007-dynamic-api-resolution|T1027.007]]), torna o malware altamente adaptável e resistente a assinaturas estáticas. O [[s1099-samurai|Samurai]] é utilizado em conjunto com múltiplos módulos especializados para tarefas como movimentação lateral, coleta de credenciais e exfiltração de dados. Instalado como serviço do Windows ([[t1543-003-windows-service|T1543.003]]) com nome imitando software legítimo, utiliza criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) nas comúnicações e compressão de dados ([[t1027-015-compression|T1027.015]]) para reduzir a pegada de rede. O [[g1022-toddycat|ToddyCat]] frequentemente implanta o Samurai em conjunto com o [[ninjá|Ninjá]] - outro backdoor do grupo - para redundância operacional. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1027-004-compile-after-delivery|T1027.004 - Compile After Delivery]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1090-proxy|T1090 - Proxy]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-007-dynamic-api-resolution|T1027.007 - Dynamic API Resolution]] ## Grupos que Usam - [[g1022-toddycat|ToddyCat]] ## Detecção - Monitorar serviços do Windows recém-criados que imitam nomes de software legítimo (System, svchost variants) - Detectar conexões de entrada em portas não padrão para processos de serviço do Windows - Alertar sobre compilação ou execução de código C# em runtime por processos de serviço - Inspecionar tráfego de rede de serviços do Windows para protocolos não padrão - Implementar auditoria de criação de serviços e correlacionar com atividade de rede subsequente ## Relevância LATAM/Brasil O [[g1022-toddycat|ToddyCat]] tem expandido suas operações além do Sudeste Asiático, e o perfil de alvos - organizações governamentais e militares - é diretamente relevante para o Brasil. A capacidade de execução de módulos C# em tempo real torna o [[s1099-samurai|Samurai]] extremamente adaptável a diferentes ambientes e objetivos, o que significa que o mesmo malware pode ser utilizado contra alvos tão diferentes quanto um ministério brasileiro e uma empresa de defesa. Equipes de defesa brasileiras devem monitorar indicadores de comprometimento do ToddyCat públicados pela Kaspersky. ## Referências - [MITRE ATT&CK - S1099](https://attack.mitre.org/software/S1099)