s1222-riflespine - RunkIntel

# RIFLESPINE > Tipo: **malware** · S1222 · [MITRE ATT&CK](https://attack.mitre.org/software/S1222) ## Descrição [[s1222-riflespine|RIFLESPINE]] é um backdoor multiplataforma utilizado pelo [[g1048-unc3886|UNC3886]], grupo de espionagem cibernética com nexo à China, que usa o Google Drive como canal de comando e controle e para transferência de arquivos. Esta abordagem - usar serviços de nuvem legítimos como infraestrutura C2 - torna a detecção baseada em análise de destinos de rede práticamente impossível, já que o tráfego para o Google Drive é universalmente permitido. O RIFLESPINE se comúnica bidirecionalmente via Google Drive ([[t1102-002-bidirectional-communication|T1102.002]]), exfiltrando dados coletados para o Drive ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) e recebendo comandos e novos payloads ([[t1105-ingress-tool-transfer|T1105]]) a partir do mesmo serviço. A comunicação é cifrada com criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) antes de ser enviada ao Drive, adicionando uma camada extra de proteção além da criptografia nativa do Google. O malware persiste via serviço systemd ([[t1543-002-systemd-service|T1543.002]]) e realiza staging local de dados antes da exfiltração ([[t1074-001-local-data-staging|T1074.001]]). O uso por [[g1048-unc3886|UNC3886]] é especialmente preocupante dado o foco do grupo em comprometer dispositivos de segurança de borda (firewalls Fortinet, appliances VMware) - o RIFLESPINE seria implantado após o comprometimento inicial desses dispositivos para manter acesso persistente à rede da vítima via um canal C2 virtualmente indetectável por políticas de firewall convencionais. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1543-002-systemd-service|T1543.002 - Systemd Service]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] ## Grupos que Usam - [[g1048-unc3886|UNC3886]] ## Detecção A detecção do RIFLESPINE é desafiante por seu uso do Google Drive como C2. Análise de volume e frequência de tráfego para `drive.googleapis.com` por processos do sistema pode revelar padrões anômalos. Monitorar criação de serviços systemd ([[t1543-002-systemd-service|T1543.002]]) em dispositivos de segurança de borda e verificação de integridade de binários em appliances Linux são abordagens preventivas. Ferramentas de User and Entity Behavior Analytics (UEBA) que detectam acesso incomum ao Google Drive por identidades de máquina são mais eficazes. ## Relevância LATAM/Brasil O [[g1048-unc3886|UNC3886]] explora vulnerabilidades em appliances de segurança de fornecedores como Fortinet e VMware - produtos amplamente utilizados em grandes organizações brasileiras. A técnica de C2 via Google Drive é particularmente insidiosa no contexto brasileiro, onde o Google Workspace é amplamente adotado por empresas e governo, e bloquear tráfego para o Google seria inviável. Organizações brasileiras com firewalls Fortinet ou appliances VMware ESXi devem priorizar a aplicação de patches de segurança desses produtos e implementar monitoramento de integridade de firmware. ## Referências - [MITRE ATT&CK - S1222](https://attack.mitre.org/software/S1222)