darkcomet - RunkIntel

# DarkComet > [!high] RAT de Baixo Custo com Adoção Global por APTs e Cibercriminosos > DarkComet é um RAT desenvolvido originalmente como software legítimo em 2008, cujo código vazado alimenta campanhas ativas em 2025. Usado pela **Guerra Civil Síria** para monitorar dissidentes, pelo [[g0134-transparent-tribe|Transparent Tribe]] (Paquistão) contra alvos indianos e pelo [[g0083-silverterrier|SilverTerrier]] em fraudes BEC - o DarkComet demonstra como ferramentas de baixo custo podem ser tão eficazes quanto implants de nação-estado sofisticados contra alvos sem defesas maduras. ## Visão Geral DarkComet (MITRE S0334, aliases Fynloski, Krademok, FYNLOS) é uma ferramenta de administração remota desenvolvida pelo programador francês Jean-Pierre Lesueur em 2008 e lançada gratuitamente como software de administração legítima. Em 2012, após o descobrimento de uso pelo governo sírio para monitorar e perseguir dissidentes durante a guerra civil, Lesueur anunciou a descontinuação do projeto. No entanto, o código-fonte já havia sido amplamente copiado e distribuído, gerando dezenas de variantes e forks que continuam ativos em 2025. O MITRE ATT&CK S0334 documenta o DarkComet como uma das ferramentas RAT mais amplamente distribuídas no ecossistema do cibercrime global. A adoção do DarkComet por atores de nação-estado - incluindo o governo sírio, [[g0134-transparent-tribe|Transparent Tribe]] (grupo APT atribuído ao Paquistão), e parcialmente pelo [[g0083-silverterrier|SilverTerrier]] (grupo de fraude nigeriano) - ilustra como ferramentas de código aberto democratizam capacidades de espionagem para atores com recursos limitados. O conjunto de capacidades do DarkComet é comparável a RATs comerciais de alto custo: captura de tela e vídeo via webcam, gravação de áudio via microfone, keylogging, acesso e modificação da área de transferência, shell remoto interativo, gerenciador de arquivos, editor de registro, controle do firewall e transferência bidirecional de arquivos. O [[g0134-transparent-tribe|Transparent Tribe]] (também conhecido como APT36, ProjectM, Mythic Leopard) usa o DarkComet extensivamente em operações de espionagem contra militares e funcionários governamentais indianos, frequentemente distribuído via spear-phishing com documentos do Ministério da Defesa da Índia como isca. O [[g0083-silverterrier|SilverTerrier]] integra o DarkComet em campanhas de Business Email Compromise (BEC) para comprometer sistemas de contabilidade e gerentes financeiros, permitindo monitorar correspondências e interceptar transações. Esta amplitude de uso - de estados a cibercriminosos - torna o DarkComet relevante para uma gama excepcionalmente ampla de organizações. A porta TCP padrão do DarkComet é 1604, mas é altamente configurável. O protocolo C2 usa comunicação criptografada proprietária. O malware é tipicamente empacotado com UPX ou packers customizados para evadir detecção antivírus baseada em assinatura. Variantes modernas adicionam capacidades de bypass de UAC, anti-sandbox e verificação de ambiente virtual. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) | | **Linguagem** | Delphi / Pascal | | **Primeira versão** | 2008 (desenvolvedor: Jean-Pierre Lesueur) | | **Status** | Ativo via variantes e forks | | **MITRE ID** | S0334 | | **Plataformas** | Windows | | **Porta C2 padrão** | TCP 1604 (configurável) | ## Como Funciona **Entrega via spear-phishing com isca de contexto:** O DarkComet é distribuído via emails de spear-phishing com anexos maliciosos disfarçados como documentos relevantes ao alvo - formulários fiscais, documentos militares, currículos, notícias. Engenharia social direcionada é característica do [[g0134-transparent-tribe|Transparent Tribe]], que usa documentos do governo indiano como isca para alvos militares indianos. **Empacotamento para evasão de antivírus:** O payload é comprimido com UPX ou packer customizado para reduzir detecção por assinatura. Em variantes mais recentes, técnicas de ofuscação de código e polimorfismo são aplicadas para dificultar detecção por heurística. **Persistência via Run key do registro:** O DarkComet adiciona chave no registro Windows (`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`) apontando para o executável malicioso, garantindo execução a cada inicialização do sistema. **Desabilitação de defesas:** O malware modifica o firewall do Windows para permitir comúnicações de saída sem alertar o usuário e pode desabilitar produtos antivírus instalados via APIs do sistema. **Canal C2 via TCP:** Comúnicação com o servidor do operador usa protocolo proprietário sobre TCP, criptografado com RC4 ou similar. O tráfego se assemelha a dados binários genéricos sem assinatura facilmente identificável. **Monitoramento e coleta em tempo real:** Keylogging captura todas as teclas digitadas incluindo senhas e mensagens. Screenshots são tirados periodicamente ou sob comando. Webcam e microfone podem ser ativados remotamente sem indicação visual. Clipboard é monitorado continuamente para capturar dados copiados. **Acesso remoto completo:** O operador tem acesso a shell remoto interativo, gerenciador de arquivos para navegar e exfiltrar documentos, e acesso de desktop remoto similar ao RDP para monitorar atividade em tempo real. ## Attack Flow ```mermaid graph TB A["Spear-phishing com isca contextual Documento fiscal militar currículo T1566.001 Spearphishing Attachment"] --> B["Execução e desempacotamento UPX customizado anti-AV T1027.002 Software Packing"] B --> C["Desabilita defesas Firewall Windows AV T1562.001 T1562.004"] C --> D["Persistência via Run key HKCU Software Microsoft T1547.001 T1112"] D --> E["Canal C2 TCP 1604 Protocolo cifrado RC4 T1071.001"] E --> F["Espionagem em tempo real Keylog webcam mic clipboard T1056 T1125 T1123 T1115"] F --> G["Exfiltração de dados Documentos arquivos credenciais T1105"] classDef delivery fill:#e74c3c,color:#fff classDef evasion fill:#27ae60,color:#fff classDef persist fill:#3498db,color:#fff classDef c2 fill:#8e44ad,color:#fff classDef collect fill:#1abc9c,color:#fff classDef exfil fill:#2c3e50,color:#fff class A delivery class B,C evasion class D persist class E c2 class F collect class G exfil ``` ## Timeline ```mermaid timeline title DarkComet RAT - Da Ferramenta Legítima ao Arsenal APT 2008 : Jean-Pierre Lesueur cria DarkComet : Lançado como software gratuito de admin remota 2011 : Governo sírio usa DarkComet : Monitoramento de dissidentes na guerra civil 2012 : CitizenLab documenta uso sírio : Lesueur anuncia descontinuação oficial 2012 : Código amplamente distribuído online : Forks e variantes começam a proliferar 2014 : Transparent Tribe adota DarkComet : Operações contra alvos militares indianos 2016 : SilverTerrier integra em campanhas BEC : Fraude financeira corporativa global 2018 : MITRE documenta S0334 : Fynloski Krademok FYNLOS aliases catalogados 2020 : Variantes com bypass UAC e anti-sandbox : Evolução técnica dos forks 2023 : Detecções ativas em Brasil e LATAM : Campanhas de cibercrime regional 2025 : Ainda detectado em campanhas ativas : Múltiplos forks em distribuição ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Evasão | [[t1027-002-software-packing\|T1027.002]] | Empacotamento UPX para evadir detecção antivírus por assinatura | | Evasão | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desabilitação de produtos antivírus instalados | | Evasão | [[t1562-004-disable-or-modify-system-firewall\|T1562.004]] | Modificação do firewall Windows para permitir C2 | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Run key no registro HKCU para sobreviver a reinicialização | | Persistência | [[t1112-modify-registry\|T1112]] | Modificações de registro para configuração e persistência | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP/TCP como canal de comunicação com servidor do operador | | Coleta | [[t1115-clipboard-data\|T1115]] | Monitoramento contínuo da área de transferência | | Coleta | [[t1125-video-capture\|T1125]] | Ativação remota de webcam sem indicação visual | | Coleta | [[t1123-audio-capture\|T1123]] | Gravação de áudio via microfone remotamente | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging de senhas, mensagens e dados digitados | | Coleta | [[t1082-system-information-discovery\|T1082]] | Reconhecimento do sistema comprometido | | Descoberta | [[t1057-process-discovery\|T1057]] | Enumeração de processos ativos | | Acesso Remoto | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Acesso de desktop remoto para monitoramento em tempo real | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Shell de comando remoto interativo | | Lateral | [[t1105-ingress-tool-transfer\|T1105]] | Transferência de ferramentas adicionais via canal C2 | ## Grupos que Usam - [[g0134-transparent-tribe|Transparent Tribe]] (APT36, ProjectM) - espionagem contra militares e governo indiano, e Pakistan - [[g0083-silverterrier|SilverTerrier]] - fraudes BEC contra organizações corporativas globais - [[g0082-apt38|APT38]] - operações financeiras criminosas atribuídas à Coreia do Norte - Governo sírio - monitoramento de dissidentes durante guerra civil (2011-2012) ## Relevância LATAM/Brasil O DarkComet tem presença documentada e ativa no Brasil. Relatórios da Kaspersky, ESET e pesquisadores brasileiros identificam regularmente amostras em campanhas de cibercrime brasileiro, onde o baixo custo de entrada (código gratuito disponível online) torna o DarkComet acessível a grupos de crime cibernético sem sofisticação técnica avançada. Campanhas documentadas usam iscas em português relacionadas a imposto de renda, Nota Fiscal Eletrônica (NF-e), auxílios governamentais e notícias de atualidade brasileira. O [[g0083-silverterrier|SilverTerrier]], que usa DarkComet em campanhas BEC, tem histórico de operações contra empresas brasileiras - o Brasil é o segundo maior alvo de fraudes BEC na América Latina. A técnica de monitorar webcam e microfone de executivos e gerentes financeiros, combinada com acesso ao clipboard para capturar dados de transferência bancária, representa ameaça direta a departamentos financeiros de empresas brasileiras de médio e grande porte. A prevalência do DarkComet em campanhas de cibercrime oportunistas - onde qualquer empresa sem segurança básica é alvo - torna essencial que organizações brasileiras de todos os portes monitorem indicadores de comprometimento desta família. O uso em monitoramento de ativistas e jornalistas, documentado na Síria, é também relevante em contextos de investigações corporativas e vigilância não autorizada no Brasil. ## Detecção **Fontes de dados recomendadas:** - **Firewall e proxy de saída:** Conexões TCP na porta 1604 ou portas configuradas pelo operador para IPs externos não reconhecidos. O DarkComet mantém conexão persistente com heartbeat regular. - **Process monitoring:** Processos acessando dispositivos de câmera (`DirectShow`, `Windows Camera`) ou microfone (`waveIn*`, `WASAPI`) fora do contexto de aplicativos esperados (Zoom, Teams, browsers) indicam captura não autorizada. - **Sysmon Event ID 13:** Modificações na chave `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por processos fora do contexto de instaladores de software legítimos. - **AV/EDR:** Detecção de UPX packing em binários desconhecidos - flag para análise adicional; strings de registry characteristics do DarkComet. **Regras de detecção:** - YARA: `RAT_DarkComet.yar` - strings de configuração internas, offsets de protocolo C2 e aliases Fynloski (repositório Neo23x0/signature-base) - Sigma: `proc_creation_win_darkcomet_persistence.yml` - Run key HKCU com nome suspeito + timestamp de arquivo correspondente - Suricata: regras de detecção de tráfego TCP na porta 1604 com padrões de heartbeat do DarkComet (ET OPEN Suricata rules) ## Referências - [1](https://attack.mitre.org/software/S0334/) MITRE ATT&CK - S0334 DarkComet - [2](https://citizenlab.ca/2012/07/analysis-of-the-darkcomet-rat-in-syrian-usage/) CitizenLab - DarkComet RAT Syrian Usage Analysis (2012) - [3](https://malpedia.caad.fkie.fraunhofer.de/details/win.darkcomet) Malpedia - DarkComet (Fynloski) malware family - [4](https://www.welivesecurity.com/2016/04/26/operation-transparent-tribe-apt-36/) ESET WeLiveSecurity - Operation Transparent Tribe APT36 (2016) - [5](https://www.secureworks.com/research/silver-terrier-the-rise-of-nigerian-cyber-crime) Secureworks - SilverTerrier BEC Operations (2018) - [6](https://www.kaspersky.com/resource-center/threats/darkcomet) Kaspersky - DarkComet RAT Analysis