# BitterRAT > [!medium] Trojan de acesso remoto customizado desenvolvido pelo grupo de espionagem Bitter APT, ativo desde 2014, com alvo em entidades governamentais e de defesa no Paquistão, China, Bangladesh e Arábia Saudita. ## Visão Geral O BitterRAT é o trojan de acesso remoto (RAT) proprietário do grupo de ameaça persistente avançada [[g1002-bitter\|Bitter APT]] (também conhecido como APT-C-08, TA397, T-APT-17 e Hazy Tiger). O malware evoluiu a partir de variantes do framework AndroRAT para Android em 2014, sendo adaptado posteriormente para Windows como ferramenta de espionagem cibernética direcionada. O grupo Bitter é avaliado como um ator de espionagem cibernética apoiado por Estado, alinhado com interesses do governo indiano, com base em análises de fuso horário operacional (UTC+5:30 - Indian Standard Time), horários de atividade de segunda a sexta-feira e padrões de infraestrutura. Suas campanhas focam em espionagem geopolítica contra alvos governamentais, diplomáticos e de defesa nos países vizinhos. O BitterRAT foi identificado em campanhas contra alvos paquistaneses desde pelo menos 2013, e em 2025 foi observado em ataques de alto impacto como a Operação Sindoor, quando o grupo comprometeu a Pakistan Telecommúnication Company Limited (PTCL) durante escalada militar entre Índia e Paquistão. O malware é frequentemente entregue via [[artra-downloader\|ArtraDownloader]] e complementado pelo backdoor WSCSPL. Para o cenário LATAM, o Bitter APT foi documentado realizando ataques esporádicos na América do Sul, e seu modelo de espionagem via spear-phishing é amplamente replicado por grupos de ameaça regionais. > [!latam] Relevância para o Brasil > O **BitterRAT** é relevante para o Brasil como exemplo de espionagem geopolítica via **spear-phishing com documentos Office maliciosos** — técnica que independe de sofisticação do alvo. O grupo foi documentado realizando ataques esporádicos na América do Sul, e em 2025 demonstrou capacidade de operar durante escaladas militares reais (Operação Sindoor, Índia-Paquistão). Embaixadas, empresas com operações em zonas de conflito e entidades de defesa brasileiras devem estar atentas ao padrão de **DDNS + HTTP POST** característico do BitterRAT. ## Como Funciona O BitterRAT é um RAT baseado em C++ para Windows, com capacidades de controle remoto completo. Na cadeia de infecção típica, é entregue como payload de segundo estágio pelo [[artra-downloader\|ArtraDownloader]]. ### Attack Flow - Campanha Típica Bitter APT ```mermaid graph TB A["🎯 Spear-phishing<br/>Email com documento RTF/Office<br/>ou link malicioso"] --> B["📄 Exploração de CVE<br/>CVE-2017-11882, CVE-2018-0798<br/>CVE-2021-1732 privilege escalation"] B --> C["📥 ArtraDownloader<br/>Downloader C++ coleta<br/>info do sistema e baixa RAT"] C --> D["🔧 BitterRAT instalado<br/>Persistência via RunKey<br/>e Scheduled Task"] D --> E["📡 Comúnicação C2<br/>HTTP POST ou TCP encriptado<br/>DDNS para infraestrutura"] E --> F["🕵️ Espionagem ativa<br/>Shell remoto, enumeração<br/>de arquivos, captura de tela"] F --> G["📤 Exfiltração<br/>Dados de interesse<br/>para servidor C2"] ``` ## Capacidades Técnicas O BitterRAT oferece controle remoto completo sobre o sistema comprometido: | Capacidade | Descrição | |-----------|-----------| | Informações do sistema | Nome do computador, usuário, OS, GUID da máquina | | Shell remoto | Execução de comandos arbitrários | | Enumeração de unidades | Lista drives lógicos e seus conteúdos | | Enumeração de arquivos | Log de arquivos com timestamps | | Manipulação de processos | Lista e gerencia processos ativos | | Download/Upload | Transferência de arquivos para/do C2 | | Keylogging | Registro de teclas e clipboard (módulo separado) | ## Arsenal do Bitter APT O BitterRAT faz parte de um ecossistema maior de ferramentas do grupo: - **[[artra-downloader\|ArtraDownloader]]** - Downloader C++ de primeiro estágio - **WSCSPL Backdoor** - Backdoor C entregue pelo ArtraDownloader - **MuuyDownloader (ZxxZ)** - Trojan que executa payloads remotos - **WmRAT / MiyaRAT** - RATs mais recentes (2024-2025) - **BDarkRAT** - Trojan .NET documentado desde 2019 - **KugelBlitz** - Shellcode loader para framework Havoc C2 - **KiwiStealer** - Stealer de arquivos por extensão ## TTPs Principais | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[T1566-phishing\|T1566.001]] | Spear-phishing com anexo RTF/Office malicioso | | Execução | [[T1204-user-execution\|T1204.002]] | Abertura de documento malicioso pelo usuário | | Execução | [[T1203-exploitation-for-client-execution\|T1203]] | CVE-2017-11882, CVE-2018-0798, CVE-2021-1732 | | Persistência | [[T1053-scheduled-task\|T1053.005]] | Scheduled Task para execução ao iniciar | | Persistência | - | Run key em HKCU para execução automática | | C2 | [[T1071-application-layer-protocol\|T1071.001]] | HTTP POST para servidor C2 | | C2 | [[T1568-dynamic-resolution\|T1568]] | DDNS para infraestrutura de C2 | | Evasão | [[T1036-masquerading\|T1036.004]] | Malware disfarçado de Windows Security update | | Evasão | [[T1027-obfuscated-files-or-information\|T1027]] | Strings obfuscadas por adição/subtração de bytes | ## Infraestrutura C2 O Bitter APT usa DDNS (Dynamic DNS) e servidores de hospedagem dedicados para C2. Tanto o servidor de download do payload quanto o C2 real são frequentemente diferentes dominios, ambos registrados com identidades falsas alegando ser do Reino Unido. A infraestrutura é rotacionada frequentemente para dificultar rastreamento. ## Padrão Operacional Análises de timestamps de certificados e horários de compilação revelam: - Operação de **segunda a sexta-feira**, horário comercial - Fuso horário alinhado com **UTC+5:30 (IST)** ou **UTC+5 (PKT)** - Confirma origem em país da Asia do Sul ## Detecção e Defesa ### Mitigações Prioritárias 1. **Aplicar patches** para CVE-2017-11882, CVE-2018-0798, CVE-2021-1732 2. **Bloquear macros** em documentos Office de fontes externas 3. **Monitorar Run Keys** no registro para executáveis não reconhecidos 4. **Detectar DDNS suspeito** em comúnicações de rede 5. **Treinar usuários** para identificar spear-phishing com temáticas governamentais ## Referências - [Forcepoint - BITTER: A Targeted Attack Against Pakistan (2016)](https://www.forcepoint.com/blog/x-labs/bitter-targeted-attack-against-pakistan) - [MITRE ATT&CK - BITTER G1002](https://attack.mitre.org/groups/G1002/) - [The Hacker News - Bitter APT Evolving Tactics (2025)](https://thehackernews.com/2025/06/bitter-hacker-group-expands-cyber.html) - [Bitdefender - BitterAPT Revisited](https://www.bitdefender.com/files/News/CaseStudies/study/352/Bitdefender-PR-Whitepaper-BitterAPT-creat4571-en-EN-GenericUse.pdf) - [EclecticIQ - PTCL Targeted by Bitter APT (2025)](https://blog.eclecticiq.com/pakistan-telecommunication-company-ptcl-targeted-by-bitter-apt-during-heightened-regional-conflict)