# HappyDoor > Tipo: **malware** · S1145 · [MITRE ATT&CK](https://attack.mitre.org/software/S1145) ## Descrição [[s1145-happydoor|HappyDoor]] é um backdoor utilizado pelo grupo de espionagem norte-coreano [[g0094-kimsuky|Kimsuky]] (também conhecido como Thallium ou APT43) desde pelo menos 2012. O [[g0094-kimsuky|Kimsuky]] é um grupo patrocinado pelo estado norte-coreano que conduz operações de espionagem com foco em think tanks de política, institutos de pesquisa de defesa, organizações de mídia e alvos governamentais - especialmente na Coreia do Sul, Jápão, EUA e Europa. O HappyDoor é usado como implante de segunda fase, instalado após comprometimento inicial via spear-phishing para estabelecer acesso persistente e coletar inteligência. O HappyDoor implementa comunicação C2 via HTTP/HTTPS com criptografia simétrica para proteger o conteúdo das comúnicações. O malware suporta execução de comandos via shell Windows, download e upload de arquivos, e enumeração de arquivos e diretórios do sistema comprometido. Persistência é garantida via chaves de registro de inicialização, e o malware apaga registros de sua atividade para dificultar análise forense. Suas capacidades permitem que os operadores do [[g0094-kimsuky|Kimsuky]] coletem documentos sensíveis e monitorem atividades das vítimas de forma continuada. O [[g0094-kimsuky|Kimsuky]] é reconhecido por usar múltiplos implantes em suas operações - combinando backdoors como HappyDoor com keyloggers, infostealers e módulos de coleta específicos. Essa abordagem modular aumenta a resiliência das operações: mesmo que um componente sejá detectado e removido, outros implantes garantem continuidade do acesso. O HappyDoor serve tipicamente como o canal de controle persistente a partir do qual payloads adicionais são implantados conforme necessário. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] ## Grupos que Usam - [[g0094-kimsuky|Kimsuky]] ## Detecção Para detectar o HappyDoor, monitore conexões HTTP/HTTPS iniciadas por processos incomuns (não navegadores) com intervalos de beacon regulares. Alertas para criação de chaves de registro de inicialização por processos não-administrativos (Event ID 4657 ou via Sysmon) são eficazes. A análise comportamental de processos que realizam enumeração de sistema seguida de transferência de dados é um indicador composto importante. Regras YARA baseadas nas strings e padrões de criptografia do HappyDoor identificados em análises públicas ajudam na detecção de amostras conhecidas. ## Relevância LATAM/Brasil O [[g0094-kimsuky|Kimsuky]] tem foco primário em alvos da Coreia do Sul e aliados dos EUA, mas campanhas documentadas incluem organizações de pesquisa e think tanks globais. Organizações brasileiras ligadas à política externa, defesa ou pesquisa nuclear (como o IPEN) podem ser alvos de interesse para grupos de espionagem norte-coreanos. Adicionalmente, as técnicas do HappyDoor são amplamente relevantes para o contexto brasileiro como referência de padrões de backdoor HTTP com criptografia que deve ser detectado via inspeção de tráfego e análise comportamental. ## Referências - [MITRE ATT&CK - S1145](https://attack.mitre.org/software/S1145) - [CISA - Kimsuky Cyber Espionage Group](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-132a)