# DANGO > Tipo: **backdoor** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[s1111-dango|DANGO]] é um backdoor utilizado pelo grupo [[g0129-mustang-panda|Mustang Panda]] (também conhecido como TA416, RedDelta e Bronze President) em campanhas de espionagem cibernética. Identificado em operações mais recentes do grupo, o [[s1111-dango|DANGO]] complementa outros backdoors do arsenal Mustang Panda como o [[s0013-plugx|PlugX]] e o [[s0591-cotx-rat|COTX RAT]], servindo como ferramenta de acesso persistente em ambientes comprometidos de alto valor. O [[s1111-dango|DANGO]] comúnica-se com servidores C2 via protocolos web padrão, tornando o tráfego malicioso difícil de distinguir de comúnicações legítimas sem inspeção profunda de conteúdo. O malware suporta execução de comandos remotos via Windows Command Shell e possui capacidades de reconhecimento do sistema e exfiltração de arquivos. Como outros backdoors do [[g0129-mustang-panda|Mustang Panda]], o DANGO é frequentemente entregue via documentos maliciosos de spear-phishing com iscas geopolíticas relacionadas a assuntos de interesse do alvo. O [[g0129-mustang-panda|Mustang Panda]] é especialmente ativo em campanhas contra organizações na Ásia-Pacífico, Europa e entidades relacionadas a assuntos internacionais. O grupo demonstrou capacidade de operação persistente e simultânea contra múltiplos alvos em diferentes países, mantendo presença em redes comprometidas por meses ou anos. O uso de novos backdoors como o [[s1111-dango|DANGO]] ao lado de ferramentas consolidadas como o [[s0013-plugx|PlugX]] reflete a estratégia de renovação contínua do arsenal para evadir detecções baseadas em assinaturas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0129-mustang-panda|Mustang Panda]] ## Detecção - Monitorar conexões HTTP/HTTPS periódicas (beaconing) para servidores com baixa reputação ([[t1071-001-web-protocols|T1071.001]]) - Detectar processos cmd.exe iniciados por processos de serviço ou documentos Office ([[t1059-003-windows-command-shell|T1059.003]]) - Alertar sobre transferências de dados para servidores externos por processos incomuns ([[t1041-exfiltration-over-c2-channel|T1041]]) - Identificar padrões de beaconing com intervalos regulares característicos de malware C2 - Monitorar varreduras de arquivos e diretórios por processos em segundo plano ([[t1083-file-and-directory-discovery|T1083]]) ## Relevância LATAM/Brasil O [[g0129-mustang-panda|Mustang Panda]] tem expandido seu alcance para além da Ásia-Pacífico, com campanhas documentadas na Europa e indícios de interesse em alvos latino-americanos. Para o Brasil, organizações envolvidas em relações diplomáticas com países do Indo-Pacífico, think tanks de política externa, representações de organizações internacionais (ONU, OEA) e empresas com parceiros estratégicos na Ásia são potenciais alvos. A técnica de spear-phishing com iscas geopolíticas é facilmente adaptável para o contexto brasileiro, utilizando materiais sobre relações BRICS, comércio Brasil-China ou questões de governança global. ## Referências - [MITRE ATT&CK - Mustang Panda](https://attack.mitre.org/groups/G0129) - [Trend Micro - Mustang Panda Operations](https://www.trendmicro.com/en_us/research/23/a/iron-tiger-sysupdate-adds-linux-targeting.html)