# Unknown Logger > Tipo: **malware** · S0130 · [MITRE ATT&CK](https://attack.mitre.org/software/S0130) ## Descrição [[s0130-unknown-logger|Unknown Logger]] é um backdoor gratuito disponibilizado públicamente que foi utilizado pelo grupo [[g0040-patchwork|Patchwork]] em operações de espionagem cibernética. A versão 1.5 do backdoor foi particularmente documentada em uso pelos atores responsáveis pela campanha MONSOON, dirigida a organizações governamentais e do setor de defesa no sul da Ásia. O malware combina capacidades de keylogging com roubo de credenciais de navegadores web, coleta de informações do sistema e propagação por mídia removível. Sua capacidade de desabilitar ferramentas de segurança (T1562.001) garante maior persistência no ambiente comprometido, enquanto a coleta de informações do sistema e da rede de configuração permite ao atacante mapear o ambiente alvo antes de exfiltrar dados. Por ser um backdoor público e gratuito, o Unknown Logger exemplifica o fenômeno de democratização de ferramentas ofensivas, onde grupos de ameaça com menor sofisticação técnica utilizam ferramentas prontas para conduzir operações de espionagem eficazes. Isso aumenta o número de atores que podem operar com capacidades similares às de grupos mais avançados. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] ## Grupos que Usam - [[g0040-patchwork|Patchwork]] ## Detecção A detecção do Unknown Logger deve focar em comportamentos de keylogging (hooking de teclado via SetWindowsHookEx), criação de processos que desabilitam antivírus e ferramentas de segurança, e acesso a stores de credenciais de navegadores populares. Monitorar tentativas de propagação via mídia removível e execução de arquivos a partir de drives removíveis são também indicadores relevantes. ## Relevância LATAM/Brasil Ferramentas de backdoor públicas e gratuitas como o Unknown Logger são frequentemente adotadas por atores de ameaça com menor sofisticação que operam na América Latina. O Brasil, com grande população de usuários de internet e alto volume de phishing direcionado, é um ambiente propício para a proliferação dessas ferramentas. Organizações governamentais e do setor de defesa brasileiro devem considerar esse vetor ao avaliar sua exposição a espionagem cibernética. ## Referências - [MITRE ATT&CK - S0130](https://attack.mitre.org/software/S0130)