# Hydrochasma > Tipo: **malware** · [Symantec Threat Intelligence] ## Descrição [[hydrochasma|Hydrochasma]] é um ator de ameaça relativamente novo identificado pela Symantec em 2023, com campanhas documentadas contra empresas de frete marítimo e laboratórios médicos na Ásia. O nome "Hydrochasma" se refere ao grupo como um todo, mas também é usado para descrever as ferramentas customizadas que o grupo usa em suas operações. O grupo é notável por depender quase exclusivamente de ferramentas e exploits disponíveis públicamente (Living off the Land e ferramentas de código aberto), tornando a atribuição baseada em tooling especialmente difícil. As campanhas do Hydrochasma utilizam múltiplas ferramentas de código aberto e dual-use: o [[fast-reverseproxy|Fast Reverse Proxy]] (FRP) para tunelamento, [[s0154-cobalt-strike|Cobalt Strike]] (em variantes crackeadas), Go-Based loaders e diversos exploits públicos para acesso inicial. A combinação de ferramentas disponíveis públicamente com técnicas de evasão bem desenvolvidas sugere um grupo experiente que deliberadamente evita ferramentas customizadas para diminuir a superfície de atribuição. Os setores-alvo - frete marítimo e saúde - sugerem motivação de espionagem econômica ou inteligência geopolítica. As operações documentadas do Hydrochasma mostram interesse em redes de fornecimento de produtos farmacêuticos (logística marítima de medicamentos) e em laboratórios médicos que trabalham com vacinas e tratamentos - setor que ganhou importância geopolítica durante e após a pandemia de COVID-19. A capacidade de persistência estabelecida via registro de inicialização e o uso de C2 via HTTP indicam intenção de manter acesso prolongado para coleta contínua de inteligência. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Detecção Dado que o Hydrochasma usa principalmente ferramentas de código aberto e Living-off-the-Land, a detecção foca em comportamentos suspeitos de ferramentas legítimas. Monitorar uso do Fast Reverse Proxy (FRP) fora de contextos de administração legítima, carregamento de beacons de Cobalt Strike, e comandos PowerShell com obfuscação são indicadores prioritários. Análise comportamental que correlaciona múltiplos TTPs (exploração de serviço público + lateral movement + C2 externo) é mais eficaz que detecção de ferramenta individual. ## Relevância LATAM/Brasil O Brasil é um hub de frete marítimo e logística na América do Sul, com grandes portos em Santos, Rio de Janeiro e Paranaguá que são críticos para o comércio internacional. Empresas de logística marítima brasileiras que operam rotas Ásia-América do Sul podem ser alvos de interesse para o Hydrochasma. Adicionalmente, o setor farmacêutico e de saúde brasileiro - que inclui fabricantes de vacinas como Bio-Manguinhos e Fiocruz - pode ser de interesse para grupos de espionagem com foco nesse setor. ## Referências - [Symantec - Hydrochasma: New Threat Actor Targets Shipping Companies](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/hydrochasma-new-threat-actor-shipping-medical)