# ROKRAT > Tipo: **malware** · S0240 · [MITRE ATT&CK](https://attack.mitre.org/software/S0240) ## Descrição [[s0240-rokrat|ROKRAT]] é uma ferramenta de acesso remoto (RAT) baseada em nuvem, utilizada pelo [[g0067-apt37|APT37]] - grupo de ameaça persistente avançada atribuído à Coreia do Norte - para atacar vítimas principalmente na Coreia do Sul, com foco em governo, defesa, mídia e dissidentes políticos. O [[g0067-apt37|APT37]] utilizou o ROKRAT em diversas campanhas entre 2016 e 2021, frequentemente distribuindo-o via documentos spear-phishing em formatos HWP (Hancom Office) e Office com macros maliciosas. Uma característica distintiva do [[s0240-rokrat|ROKRAT]] é o uso de serviços legítimos de nuvem - como Dropbox, Box, Pcloud e Yandex - como infraestrutura de comando e controle (C2). Essa abordagem permite que o malware misture seu tráfego com comúnicações legítimas de negócios, dificultando enormemente a detecção por soluções baseadas em reputação de domínio ou IP. O malware é capaz de capturar áudio do microfone, realizar keylogging, roubar credenciais de navegadores e do Windows Credential Manager, e capturar o conteúdo da área de transferência. O [[s0240-rokrat|ROKRAT]] implementa técnicas avançadas de evasão, incluindo checagem de ambiente via [[t1480-001-environmental-keying|Environmental Keying]] - que analisa características do sistema para determinar se está sendo executado em uma sandbox - , evasão de debuggers ([[t1622-debugger-evasion|T1622]]) e autodestruição após execução para minimizar evidências forenses. Suas capacidades abrangentes de coleta de informações tornam-no uma ferramenta de espionagem extremamente perigosa. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1106-native-api|T1106 - Native API]] - [[t1622-debugger-evasion|T1622 - Debugger Evasion]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1555-004-windows-credential-manager|T1555.004 - Windows Credential Manager]] - [[t1480-001-environmental-keying|T1480.001 - Environmental Keying]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] ## Grupos que Usam - [[g0067-apt37|APT37]] ## Detecção - Monitorar comúnicações de processos suspeitos com APIs de serviços de nuvem (Dropbox, Box, Yandex) - especialmente de processos Office ou VBScript - Detectar abertura de documentos HWP ou Office seguida de execução de processos filhos anômalos - Alertar sobre acesso ao Windows Credential Manager por processos não esperados - Monitorar gravação de áudio via APIs do Windows (ex: `waveInOpen`) por processos não relacionados a aplicativos de comunicação - Correlacionar eventos de keylogging com exfiltração via canais de nuvem ## Relevância LATAM/Brasil Embora o foco principal do [[g0067-apt37|APT37]] sejá a Coreia do Sul, o modelo de C2 em nuvem do [[s0240-rokrat|ROKRAT]] é amplamente adotado por outros grupos que atuam na América Latina. Organizações brasileiras com parceiros ou subsidiárias na Ásia-Pacífico podem ser vetores de comprometimento. Além disso, as técnicas de evasão e o uso de serviços de nuvem legítimos como C2 são características comuns em campanhas de espionagem observadas no Brasil, tornando o estudo do ROKRAT relevante para equipes de defesa na região. ## Referências - [MITRE ATT&CK - S0240](https://attack.mitre.org/software/S0240)