# REPTILE > Tipo: **malware** · S1219 · [MITRE ATT&CK](https://attack.mitre.org/software/S1219) ## Descrição [[s1219-reptile|REPTILE]] é um rootkit Linux de código aberto com múltiplos componentes que fornece acesso backdoor persistente e funcionalidades avançadas de evasão. O REPTILE foi adotado pelo [[g1048-unc3886|UNC3886]], grupo de espionagem cibernética com nexo à China especializado em comprometer dispositivos de segurança de borda (firewalls, VPNs) e appliances de rede que tipicamente não são protegidos por soluções EDR convencionais. O REPTILE opera em nível de kernel Linux, instalando-se como um módulo do kernel ([[t1547-006-kernel-modules-and-extensions|T1547.006]]) que lhe permite interceptar chamadas de sistema e ocultar processos, arquivos e conexões de rede ([[t1014-rootkit|T1014]]) de ferramentas de detecção em user space. O rootkit usa port knocking ([[t1205-001-port-knocking|T1205.001]]) e traffic signaling ([[t1205-traffic-signaling|T1205]]) para ativar o backdoor somente quando o atacante envia uma sequência específica de pacotes - permanecendo completamente silencioso e sem portas abertas o restante do tempo. A comunicação C2 usa criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) e protocolo não-padrão de camada de rede ([[t1095-non-application-layer-protocol|T1095]]). A persistência é garantida via regras udev ([[t1546-017-udev-rules|T1546.017]]) e launch daemon ([[t1543-004-launch-daemon|T1543.004]]), e os componentes do rootkit são ocultados em diretórios com nomes que imitam entradas legítimas do sistema ([[t1564-001-hidden-files-and-directories|T1564.001]]). **Plataformas:** Linux ## Técnicas Utilizadas - [[t1543-004-launch-daemon|T1543.004 - Launch Daemon]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1205-001-port-knocking|T1205.001 - Port Knocking]] - [[t1546-017-udev-rules|T1546.017 - Udev Rules]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1205-traffic-signaling|T1205 - Traffic Signaling]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1547-006-kernel-modules-and-extensions|T1547.006 - Kernel Modules and Extensions]] ## Grupos que Usam - [[g1048-unc3886|UNC3886]] ## Detecção Detectar rootkits de kernel como o REPTILE requer ferramentas que operam fora do sistema operacional comprometido. Análise forense de memória RAM com ferramentas como Volatility pode revelar módulos de kernel não esperados ([[t1547-006-kernel-modules-and-extensions|T1547.006]]). Comparação do conteúdo de `/proc/modules` com a saída de `lsmod` pode revelar módulos ocultos pelo rootkit. Network detection com análise de pacotes pode identificar sequências de port knocking ([[t1205-001-port-knocking|T1205.001]]). Verificação de integridade de appliances com ferramentas de firmware comparison é o método preventivo mais eficaz. ## Relevância LATAM/Brasil O [[g1048-unc3886|UNC3886]] tem como alvo primário appliances de segurança de borda de grandes organizações, uma categoria de dispositivo amplamente utilizada por grandes empresas e órgãos governamentais brasileiros. Fornecedores como Fortinet, Cisco e Palo Alto - cujos produtos foram alvo do UNC3886 - têm presença massiva no mercado brasileiro. A capacidade do REPTILE de persistir em dispositivos de segurança sem detecção por EDR representa uma lacuna crítica de visibilidade para organizações que dependem exclusivamente de soluções de endpoint para sua postura defensiva. ## Referências - [MITRE ATT&CK - S1219](https://attack.mitre.org/software/S1219)