# Gelsemium > Tipo: **malware modular** · S0666 · [MITRE ATT&CK](https://attack.mitre.org/software/S0666) ## Descrição [[gelsemium|Gelsemium]] é uma plataforma de malware modular altamente sofisticada desenvolvida pelo grupo homônimo Gelsemium, que opera desde pelo menos 2014. O nome deriva do gênero de plantas venenosas Gelsemium (jásmim-da-carolina), refletindo a natureza silenciosa e perigosa do malware. A plataforma é composta por três componentes principais: Gelsemine (dropper), Gelsenicine (loader) e Gelsevirine (plugin principal), todos desenvolvidos usando o framework Microsoft Foundation Class (MFC). Esta arquitetura modular permite alta flexibilidade operacional e atualização independente de componentes. O [[gelsemium|Gelsemium]] implementa um conjunto sofisticado de técnicas para garantir persistência e evasão: utiliza processadores de impressão (Print Processors) como mecanismo de persistência incomum e difícil de detectar, emprega carregamento reflexivo de código para executar plugins na memória sem toque em disco, armazena configurações de forma fileless no registro do Windows ([[t1027-011-fileless-storage|T1027.011]]), e utiliza resolução dinâmica de DNS para localizar servidores C2 que mudam regularmente. O bypass de UAC e a evasão de sandbox garantem que o malware evite detecção em ambientes de análise automatizada. O grupo Gelsemium tem como alvos confirmados organizações governamentais, eclesiásticas (Igrejá Católica), think tanks e organizações de direitos humanos no Oriente Médio e Ásia. A ESET identificou uma campanha do grupo em 2021 que utilizou uma vulnerabilidade de servidor Exchange (ProxyLogon) como ponto de entrada, demonstrando capacidade de exploração de vulnerabilidades de alta criticidade. A sobreposição de infraestrutura com o grupo Winnti/APT41 foi observada por pesquisadores, embora a atribuição definitiva permaneça incerta. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1620-reflective-code-loading|T1620 - Reflective Code Loading]] - [[t1547-012-print-processors|T1547.012 - Print Processors]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar modificações a processadores de impressão (Print Processors) - mecanismo de persistência raramente legítimo fora de instalações de impressoras > - Detectar carregamento reflexivo de DLLs (shellcode que carrega PE na memória sem uso de APIs padrão de carregamento) > - Verificar chaves de registro HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments para entradas incomuns > - Alertar sobre resolução DNS de domínios com padrões de DGA ou recém-registrados > - Monitorar patches de ProxyLogon/ProxyShell não aplicados em servidores Exchange como vetor de entrada ## Relevância LATAM/Brasil O grupo Gelsemium tem foco documentado em organizações governamentais e religiosas, setores com presença relevante no Brasil. A exploração de vulnerabilidades de servidor Exchange (ProxyLogon) como vetor de entrada é particularmente preocupante dado o alto número de servidores Exchange locais ainda operados no Brasil. Organizações governamentais federais e estaduais, entidades religiosas e think tanks de política externa brasileiros devem considerar o Gelsemium na modelagem de ameaças. Os mecanismos de persistência incomuns (Print Processors) são um diferencial importante para construção de regras de detecção específicas. ## Referências - [MITRE ATT&CK - S0666](https://attack.mitre.org/software/S0666) - [ESET Research - Gelsemium Group](https://www.eset.com/int/about/newsroom/press-releases/research/eset-researchers-expose-gelsemium-cyberespionage-group/)