# ElizaRAT > Tipo: **RAT Windows** - [Check Point](https://research.checkpoint.com/2024/elizarat-and-apóstlestealer-new-tools-of-apt36/) > [!info] RAT .NET do APT36 - C2 via Telegram, Slack e Google Drive > O ElizaRAT e um Remote Access Trojan Windows desenvolvido em .NET (com Costura para bundling de dependências) pelo grupo [[g0134-transparent-tribe|Transparent Tribe]] (APT36). Identificado em 2023 em campanhas contra alvos indianos governamentais e militares, o ElizaRAT usa exclusivamente servicos de cloud legitimos como canal C2 - Telegram, Slack e Google Drive - tornando o trafego malicioso virtualmente indistinguivel de uso corporativo normal. Inclui verificação de fuso horario IST (India Standard Time) como anti-sandbox. ## Visão Geral O [[elizarat|ElizaRAT]] e um RAT Windows desenvolvido em C# (.NET) com empacotamento de dependências via Costura.Fody, atribuido ao grupo [[g0134-transparent-tribe|Transparent Tribe]] (APT36). Foi identificado pela Check Point Research em dezembro de 2023 em campanhas altamente direcionadas contra funcionarios do governo indiano, diplomaticos e militares. A caracteristica mais notavel do ElizaRAT e o uso exclusivo de plataformas de nuvem legitimas como infraestrutura C2: o implante se comúnica com seus operadores via API do Telegram, via Slack webhooks ou via arquivos armazenados no Google Drive ([[t1102-web-service|T1102]]). Essa técnica e altamente eficaz para evasão de controles de rede corporativos - bloquear Telegram, Slack e Google Drive seria operacionalmente inaceitavel na maioria das organizacoes. O ElizaRAT inclui verificação de fuso horario como mecanismo anti-sandbox ([[t1497-virtualizationsandbox-evasion|T1497]]): o implante verifica se o sistema usa India Standard Time (IST, UTC+5:30) antes de ativar. Se o fuso horario for diferente, o implante permanece dormante - evitando análise em sandboxes de pesquisa fora do subcontinente indiano. Arquivos CPL (Control Panel) entregues via Google Cloud Storage servem como vetor de infecção inicial. A versao mais recente do ElizaRAT, identificada em 2024, inclui um segundo estagio chamado ApoloStealer - um infostealer dedicado para coleta de documentos PDF, DOCX e XLSX do sistema comprometido. **Plataformas:** Windows ## Como Funciona O ElizaRAT opera com entrega via CPL e C2 via servicos cloud legitimos: 1. **Entrega**: arquivo CPL (Control Panel) distribuido via link para Google Cloud Storage em email de phishing 2. **Verificação IST**: implante verifica fuso horario India Standard Time - permanece dormante se diferente 3. **Persistência**: criação de task schedulada ou entrada de registro para sobreviver reinicializacoes 4. **C2 via Cloud**: comunicação via Telegram Bot API, Slack webhooks ou Google Drive API 5. **Reconhecimento**: coleta de informações do sistema, arquivos e rede 6. **ApoloStealer**: segunda etapa para exfiltração de documentos (PDF, DOCX, XLSX) ```mermaid graph TB A["Phishing com CPL<br/>Link Google Cloud Storage<br/>Funcionario governo indiano"] --> B["Verificação IST<br/>India Standard Time<br/>Anti-sandbox T1497"] B --> C["ElizaRAT Ativado<br/>.NET + Costura<br/>Persistência automatica"] C --> D["C2 via Cloud Legitimo<br/>Telegram / Slack / Drive<br/>T1102 Web Service"] D --> E["Reconhecimento<br/>Arquivos T1083<br/>System info T1082"] E --> F["ApoloStealer<br/>Segunda etapa<br/>PDF DOCX XLSX exfiltrado"] classDef phish fill:#e74c3c,color:#fff classDef check fill:#e67e22,color:#fff classDef install fill:#8e44ad,color:#fff classDef c2 fill:#2980b9,color:#fff classDef recon fill:#27ae60,color:#fff classDef steal fill:#2c3e50,color:#fff class A phish class B check class C install class D c2 class E recon class F steal ``` ## Timeline ```mermaid timeline title ElizaRAT - Historico 2023 : ElizaRAT identificado pela primeira vez : C2 via Telegram documentado por Check Point : Campanhas contra alvos governamentais indianos Dez 2023 : Check Point Research - análise técnica completa : ApoloStealer como segundo estagio identificado 2024 : Novas versoes com C2 via Slack e Google Drive : Campanhas continuadas contra India : Melhorias no mecanismo de evasão IST check 2025 : Atividade continuada do APT36 : DeskRAT surge como complemento Linux ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Email com link para arquivo CPL | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Vitima executa arquivo CPL malicioso | | Defense Evasion | [[t1497-virtualizationsandbox-evasion\|T1497]] | Verificação de fuso horario IST anti-sandbox | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de informações do sistema | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de arquivos e documentos | | C2 | [[t1102-web-service\|T1102]] | C2 via Telegram, Slack e Google Drive APIs | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTPS para comunicação com cloud services | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download do ApoloStealer como segundo estagio | ## Relevância LATAM/Brasil O ElizaRAT tem relevância estratégica para o Brasil como caso de estudo de técnicas de evasão modernas. A técnica de C2 via servicos cloud legitimos (Telegram, Slack, Google Drive) e amplamente replicada por outros atores - incluindo grupos que operam no Brasil. Qualquer RAT ou malware que use essas plataformas para C2 e virtualmente invisivel para controles de rede baseados em blacklists de dominios. Para equipes de [[government|governo]] brasileiro, o padrao de distribuição via CPL e link para Google Cloud Storage e relevante: CPL e um formato raramente monitorado em comparacao com executaveis convencionais, e links para GCS parecem completamente legitimos. **Setores historicamente impactados:** [[government|governo]] - defesa - diplomaticos ## Detecção - Alertar para execução de arquivos .cpl (Control Panel) por usuarios comuns - Monitorar chamadas de API para Telegram, Slack ou Google Drive originadas de processos desconhecidos - Detectar verificação de fuso horario via Win32 API (GetTimeZoneInformation) por processos suspeitos - YARA para strings Costura.Fody em binarios .NET desconhecidos ```sigma title: ElizaRAT CPL File Execution status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\rundll32.exe' - '\control.exe' CommandLine|contains: - '.cpl' filter_known: CommandLine|contains: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' condition: selection and not filter_known level: high tags: - attack.execution - attack.t1204.002 ``` ## Referências - [1](https://research.checkpoint.com/2024/elizarat-and-apóstlestealer-new-tools-of-apt36/) Check Point Research - ElizaRAT and ApoloStealer New APT36 Tools (2024) - [2](https://attack.mitre.org/groups/G0134/) MITRE ATT&CK - Transparent Tribe Group Profile G0134 (2024) - [3](https://malpedia.caad.fkie.fraunhofer.de/details/win.elizarat) Malpedia - ElizaRAT Family Details (2024) - [4](https://www.sentinelone.com/labs/transparent-tribe-apt36-targets-india/) SentinelOne - Transparent Tribe APT36 India Targeting (2024) - [5](https://therecord.media/apt36-elizarat-india-government) The Record - APT36 ElizaRAT India Government Targeting (2024)