# IceKiss > Tipo: **malware** · [Pesquisa de campo] ## Descrição [[icekiss|IceKiss]] é um malware identificado em análises de ameaças recentes, com amostras associadas a campanhas de comprometimento de sistemas Windows em ambientes corporativos e governamentais. O malware opera como um backdoor que estabelece comunicação com servidores de comando e controle via HTTP, executando comandos arbitrários no sistema comprometido. A obfuscação de código é uma característica notável, dificultando a análise estática e o desenvolvimento de assinaturas de detecção baseadas no conteúdo do arquivo. As capacidades operacionais do IceKiss incluem descoberta extensiva do ambiente comprometido (informações do sistema operacional, hardware, configuração de rede e enumeração de arquivos), permitindo aos operadores avaliar o valor do alvo antes de escalar para exfiltração ou implantação de payloads mais pesados. A comunicação C2 via HTTP torna o tráfego difícil de distinguir de navegação legítima, especialmente em redes sem inspeção profunda de pacotes ou análise comportamental de tráfego. O perfil do IceKiss se encaixa no padrão de ferramentas de acesso inicial ou segundo estágio usadas em campanhas de espionagem: suficientemente simples para ser implantado amplamente, com capacidades de reconhecimento suficientes para identificar alvos de alto valor, e com download de payloads adicionais para operações mais específicas após seleção do alvo. Sua obfuscação indica um desenvolvedor com experiência em evasão de defesas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Detecção Para detectar o IceKiss, foque em análise dinâmica via sandbox para superar a obfuscação de código estático. Monitoramento de comportamento de processos que realizam descoberta de sistema seguida de comunicação de rede é um indicador comportamental eficaz. Ferramentas de EDR com capacidade de análise de memória podem identificar código descompactado/deobfuscado em tempo de execução. Análise de entropia de seções de executáveis suspeitos ajuda a identificar payloads obfuscados antes da execução. ## Relevância LATAM/Brasil O IceKiss, como backdoor de uso geral com obfuscação, representa um padrão de ameaça relevante para o Brasil. A combinação de obfuscação com comunicação C2 via HTTP é amplamente utilizada por grupos de crime cibernético e espionagem que operam no Brasil. A detecção comportamental, em vez de baseada em assinaturas, é o controle mais eficaz contra essa classe de ameaças no contexto brasileiro. ## Referências - [MITRE ATT&CK - T1027](https://attack.mitre.org/techniques/T1027/)