# MarkiRAT > Tipo: **malware** · S0652 · [MITRE ATT&CK](https://attack.mitre.org/software/S0652) ## Descrição [[s0652-markirat|MarkiRAT]] é um Trojan de acesso remoto (RAT) compilado com Visual Studio e utilizado pelo grupo [[g0137-ferocious-kitten|Ferocious Kitten]] (nexo iraniano) desde pelo menos 2015 em campanhas de espionagem contra dissidentes iranianos e a comunidade de oposição ao regime. O Ferocious Kitten é um grupo de ameaça que foca quase exclusivamente em indivíduos de língua persa dentro e fora do Irã, incluindo ativistas, dissidentes e jornalistas. O MarkiRAT realiza keylogging contínuo ([[t1056-001-keylogging|T1056.001]]) e coleta de dados locais ([[t1005-data-from-local-system|T1005]]) para exfiltração via canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O malware usa BITS Jobs ([[t1197-bits-jobs|T1197]]) para download furtivo de payloads adicionais, aproveitando o serviço legítimo de transferência de background do Windows. A persistência é estabelecida via Registry Run Keys ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e modificação de atalhos ([[t1547-009-shortcut-modification|T1547.009]]). O RAT realiza descoberta de linguagem do sistema ([[t1614-001-system-language-discovery|T1614.001]]) para confirmar o perfil da vítima e acessa gerenciadores de senhas ([[t1555-005-password-managers|T1555.005]]) para roubo de credenciais. O [[g0137-ferocious-kitten|Ferocious Kitten]] distingue-se pela especificidade de seus alvos - indivíduos iranianos, não organizações - e pelo uso de engenharia social elaborada com conteúdo relevante para a comunidade persa. Este padrão de targeting de indivíduos é consistente com operações de vigilância estatal, com implicações para a segurança de jornalistas e ativistas em todo o mundo, incluindo aqueles com conexões à comunidade iraniana no Brasil. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1197-bits-jobs|T1197 - BITS Jobs]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1555-005-password-managers|T1555.005 - Password Managers]] ## Grupos que Usam - [[g0137-ferocious-kitten|Ferocious Kitten]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Monitorar uso de BITS Jobs por processos não relacionados a atualizações de Windows ou software legítimo - o MarkiRAT usa BITS para download furtivo em background. - **[[ds-0022-file|File Modification]]** - Detectar modificação de atalhos (.lnk) existentes em Desktop e menu Iniciar para apontar para executáveis maliciosos - técnica de persistência via shortcut modification do MarkiRAT. - **[[ds-0017-command|Command Execution]]** - Alertar para acesso a gerenciadores de senha por processos não relacionados a browsers ou ao próprio gerenciador - o MarkiRAT rouba senhas de gerenciadores de senha instalados. ```sigma title: MarkiRAT BITS Job Malicious Download status: stable logsource: category: process_creation product: windows detection: selection: Image|endswith: '\bitsadmin.exe' CommandLine|contains: - '/transfer' - '/addfile' filter: CommandLine|contains: - 'microsoft.com' - 'windowsupdate' condition: selection and not filter falsepositives: - Legitimaté software using BITS for background downloads level: medium tags: - attack.persistence - attack.t1197 - code/distill ``` ## Relevância LATAM/Brasil O [[g0137-ferocious-kitten|Ferocious Kitten]] é um ator iraniano que visa dissidentes e oposição ao regime. Embora o foco sejá a comunidade persa global, a técnica de targeting de indivíduos específicos via engenharia social e RAT personalizado é aplicável a outros grupos que realizam operações de vigilância direcionada contra ativistas e jornalistas no Brasil. ## Referências - [MITRE ATT&CK - S0652](https://attack.mitre.org/software/S0652) - [Kaspersky - MarkiRAT: Ferocious Kitten analysis](https://securelist.com/ferocious-kitten-6-years-of-covert-surveillance-in-iran/102806/)