# Hannotog > Tipo: **malware** · S1211 · [MITRE ATT&CK](https://attack.mitre.org/software/S1211) ## Descrição [[s1211-hannotog|Hannotog]] é um backdoor customizado exclusivamente associado ao grupo de espionagem cibernética [[g0030-raspberry-typhoon|Lotus Blossom]] (também conhecido como Spring Dragon ou Elise), ativo desde pelo menos 2022. O grupo é atribuído à China e historicamente foca em alvos governamentais, militares e de defesa no Sudeste Asiático, especialmente nas Filipinas, Taiwan, Hong Kong e Vietnã. O Hannotog é implantado como serviço Windows para persistência de longo prazo, operando silenciosamente em background e aguardando instruções do C2. Funcionalmente, o Hannotog implementa comunicação C2 via portas não-padrão, o que pode contornar regras de firewall baseadas em portas convencionais. O backdoor é capaz de exfiltrar dados automaticamente, executar comandos via shell Windows, parar serviços de segurança e desabilitar o firewall do sistema - preparando o ambiente para operações mais invasivas. A ausência de arquivo de configuração externo e a simplicidade da arquitetura sugerem que o Hannotog é usado como implante de acesso persistente de primeiro estágio, com payloads mais complexos entregues em estágios posteriores. O malware estabelece persistência registrando-se como serviço Windows legítimo, imitando nomes de serviços do sistema operacional para dificultar a identificação manual. Sua exclusividade ao [[g0030-raspberry-typhoon|Lotus Blossom]] torna o Hannotog um indicador de comprometimento (IoC) valioso: qualquer detecção desse backdoor aponta diretamente para atribuição ao grupo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0030-raspberry-typhoon|Lotus Blossom]] ## Detecção Para detectar o Hannotog, equipes de segurança devem monitorar a criação de novos serviços Windows com nomes que imitam serviços legítimos do sistema, especialmente serviços que estabelecem conexões de rede para IPs externos em portas não-padrão. Análise de logs do Event ID 7045 (novo serviço instalado) combinada com inspeção de tráfego em portas incomuns é eficaz. Verificar processos com conexões de rede saindo para destinos não categorizados em portas altas (acima de 1024) é um indicador secundário. Regras YARA baseadas nas strings de serviço e padrões de comunicação do Hannotog estão disponíveis em repositórios públicos de threat intelligence. ## Relevância LATAM/Brasil O [[g0030-raspberry-typhoon|Lotus Blossom]] tem foco operacional no Sudeste Asiático, tornando o risco direto ao Brasil relativamente baixo. Contudo, organizações brasileiras com operações ou parcerias na Ásia-Pacífico, especialmente no setor de defesa, governo e telecomúnicações, devem estar aténtas a esse vetor. Adicionalmente, as técnicas de persistência via serviço Windows e exfiltração automática utilizadas pelo Hannotog são amplamente adotadas por grupos que atacam o Brasil, servindo como referência para regras de detecção aplicáveis a ameaças locais. ## Referências - [MITRE ATT&CK - S1211](https://attack.mitre.org/software/S1211) - [Symantec - Lotus Blossom: Espionage Group Targets SE Asia](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lotus-blossom-espionage-group)