# Machete > Tipo: **malware** · S0409 · [MITRE ATT&CK](https://attack.mitre.org/software/S0409) ## Descrição [[g0095-machete|Machete]] é um conjunto de ferramentas de espionagem cibernética desenvolvido e utilizado exclusivamente pelo grupo homônimo [[g0095-machete|Machete]] (também rastreado como El Machete). Descoberto em 2010 e operando por mais de uma década, o Machete é um backdoor escrito em Python com capacidades extensas de exfiltração de dados, focado em espionagem geopolítica na América Latina. O grupo é um dos poucos APTs documentados com foco quase exclusivo em alvos latino-americanos, especialmente governos e forças armadas. O Machete captura vídeo do ambiente da vítima ([[t1125-video-capture|T1125]]) e screenshots periódicos, monitora atividade de navegadores ([[t1217-browser-information-discovery|T1217]]) e rouba credenciais armazenadas ([[t1555-003-credentials-from-web-browsers|T1555.003]]). O backdoor exfiltra dados via [[t1071-002-file-transfer-protocols|FTP]] e utiliza criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) para proteger comúnicações. A cadeia de infecção usa documentos Python empacotados ([[t1027-002-software-packing|T1027.002]]) entregues via spear-phishing. Persistência é garantida via Scheduled Task ([[t1053-005-scheduled-task|T1053.005]]), e tarefas são mascaradas como serviços legítimos ([[t1036-004-masquerade-task-or-service|T1036.004]]). O grupo Machete opera predominantemente contra alvos na Venezuela, Equador, Colômbia, Peru e outros países da América do Sul, com foco em militares, forças de segurança, governo e entidades diplomáticas. Analistas atribuem o grupo a um ator de espionagem de língua espanhola, possívelmente com nexo governamental, dado o foco exclusivo em inteligência geopolítica regional. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1552-004-private-keys|T1552.004 - Private Keys]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1125-video-capture|T1125 - Video Capture]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1217-browser-information-discovery|T1217 - Browser Information Discovery]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] ## Grupos que Usam - [[g0095-machete|Machete]] ## Detecção - **[[ds-0017-command|Command Execution]]** - Monitorar execução de scripts Python compilados (PyInstaller) por usuários comuns, especialmente iniciados por e-mails ou documentos - vetor de entrega primário do Machete. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Detectar transferências de dados via FTP para destinos externos não autorizados - o Machete exfiltra dados via File Transfer Protocols. - **[[ds-0022-file|File Access]]** - Alertar para acesso a chaves privadas SSH e certificados digitais por processos não relacionados a clientes SSH ou gerenciadores de certificados. ```sigma title: Machete Spyware FTP Exfiltration status: experimental logsource: category: network_connection product: windows detection: selection: DestinationPort: 21 Initiated: 'true' filter: Image|endswith: - '\FileZilla.exe' - '\WinSCP.exe' condition: selection and not filter falsepositives: - Legitimaté FTP client applications level: medium tags: - attack.exfiltration - attack.t1071.002 - code/distill ``` ## Relevância LATAM/Brasil O [[g0095-machete|Machete]] é uma das poucas ameaças APT documentadas com foco geopolítico exclusivo na América Latina, operando contra governos e forças militares de países sul-americanos. Embora os alvos primários documentados sejam Venezuela, Equador e Colômbia, o Brasil, como maior potência regional e com fronteiras com todos esses países, está dentro do radar de interesse de um ator de espionagem focado em inteligência geopolítica sul-americana. ## Referências - [MITRE ATT&CK - S0409](https://attack.mitre.org/software/S0409) - [ESET - Machete Spygroup Targets Latin Américan Governments](https://www.welivesecurity.com/2019/08/05/sharpening-machete-cyberespionage/)