# Remexi > Tipo: **malware** · S0375 · [MITRE ATT&CK](https://attack.mitre.org/software/S0375) ## Descrição [[s0375-remexi|Remexi]] é um Trojan para Windows desenvolvido na linguagem de programação C, utilizado pelo [[g0087-apt39|APT39]] (Chafer), grupo de espionagem cibernética com nexo ao Irã e ao Ministério de Inteligência e Segurança iraniano (MOIS). O Remexi foi documentado em campanhas direcionadas a dissidentes, jornalistas e ativistas iranianos, bem como organizações no Oriente Médio. O Remexi oferece capacidades abrangentes de espionagem: keylogging ([[t1056-001-keylogging|T1056.001]]), captura de tela ([[t1113-screen-capture|T1113]]), coleta de dados da área de transferência ([[t1115-clipboard-data|T1115]]), execução de comandos via shell ([[t1059-003-windows-command-shell|T1059.003]]), e descoberta de jánelas de aplicações abertas ([[t1010-application-window-discovery|T1010]]) - o que permite ao operador saber quais aplicações a vítima está usando em tempo real. Os dados coletados são comprimidos e arquivados ([[t1560-archive-collected-data|T1560]]) antes da exfiltração via HTTP ([[t1071-001-web-protocols|T1071.001]]). A persistência é estabelecida via múltiplos mecanismos: chaves de Run no Registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]), WMI ([[t1047-windows-management-instrumentation|T1047]]), Winlogon Helper DLL ([[t1547-004-winlogon-helper-dll|T1547.004]]) e tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]). O uso de scripts VBScript ([[t1059-005-visual-basic|T1059.005]]) como componente de execução é uma característica associada ao APT39. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1547-004-winlogon-helper-dll|T1547.004 - Winlogon Helper DLL]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1113-screen-capture|T1113 - Screen Capture]] ## Grupos que Usam - [[g0087-apt39|APT39]] ## Detecção A detecção do Remexi deve incluir monitoramento de tarefas agendadas criadas por processos incomuns ([[t1053-005-scheduled-task|T1053.005]]), uso de WMI por scripts VBScript ([[t1047-windows-management-instrumentation|T1047]]), e tráfego HTTP com upload de dados comprimidos para endereços externos não reconhecidos. Alertas para modificação de chaves Winlogon no Registro ([[t1547-004-winlogon-helper-dll|T1547.004]]) são particularmente valiosos, pois este é um mecanismo de persistência menos comumente monitorado. Ferramentas EDR com cobertura de VBScript e WMI são essenciais. ## Relevância LATAM/Brasil O [[g0087-apt39|APT39]] foca primariamente em dissidentes e alvos do Oriente Médio, mas tem histórico de expansão para coletar inteligência sobre comunidades iranianas no exterior. No Brasil, a comunidade iraniana e organizações que trabalham com refugiados e questões de direitos humanos relacionadas ao Irã podem ser alvos de vigilância. Além disso, empresas brasileiras com operações no Oriente Médio, especialmente no setor de petróleo e gás, podem ser expostas a campanhas do APT39 que visam parceiros e fornecedores como vetor de acesso. ## Referências - [MITRE ATT&CK - S0375](https://attack.mitre.org/software/S0375)