s0686-quietsieve - RunkIntel

# QuietSieve > Tipo: **malware** · S0686 · [MITRE ATT&CK](https://attack.mitre.org/software/S0686) ## Descrição [[s0686-quietsieve|QuietSieve]] é um information stealer utilizado pelo [[g0047-gamaredon|Gamaredon Group]] (também conhecido como Armageddon/Shuckworm), grupo de ameaça persistente avançada com nexo à Rússia, desde pelo menos 2021. O malware é direcionado principalmente contra organizações ucranianas governamentais, militares e de segurança. O QuietSieve é projetado para coleta silenciosa e exfiltração de dados sensíveis do sistema comprometido. Ele enumera arquivos e diretórios ([[t1083-file-and-directory-discovery|T1083]]), captura screenshots da tela ([[t1113-screen-capture|T1113]]), detecta dispositivos periféricos como drives USB ([[t1120-peripheral-device-discovery|T1120]]), e enumera compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]) para localizar dados adicionais. O malware verifica conectividade com a Internet ([[t1016-001-internet-connection-discovery|T1016.001]]) antes de iniciar exfiltração via HTTP ([[t1071-001-web-protocols|T1071.001]]). Como parte do arsenal do [[g0047-gamaredon|Gamaredon Group]], o QuietSieve complementa outros implants do grupo como o Pteranodon e o Pterodo, sendo tipicamente implantado após o acesso inicial para conduzir reconhecimento extenso antes de fases subsequentes da operação de espionagem. O Gamaredon utiliza o QuietSieve como ferramenta de manutenção de acesso e coleta contínua de inteligência em redes comprometidas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1016-001-internet-connection-discovery|T1016.001 - Internet Connection Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] ## Grupos que Usam - [[g0047-gamaredon|Gamaredon Group]] ## Detecção Detectar o QuietSieve requer monitoramento de processos que realizam capturas de tela repetidas e consultas a dispositivos USB ([[t1120-peripheral-device-discovery|T1120]]), combinadas com upload de dados via HTTP para endereços externos. Alertas para enumeração de compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]) em horários incomuns e tráfego de saída de volumes incomuns são sinais relevantes. O uso de jánelas ocultas ([[t1564-003-hidden-window|T1564.003]]) dificulta detecção por inspeção visual, tornando o monitoramento comportamental via EDR essencial. ## Relevância LATAM/Brasil O [[g0047-gamaredon|Gamaredon Group]] opera primariamente contra alvos relacionados ao conflito Rússia-Ucrânia. No contexto LATAM e Brasil, o QuietSieve é relevante como referência de técnicas de espionagem por information stealers silenciosos, padrão adotado por outros grupos que operam na região. Organizações brasileiras com operações internacionais na Europa Oriental ou com parceiros governamentais nessa região devem considerar esta classe de ameaça em seus modelos de risco. ## Referências - [MITRE ATT&CK - S0686](https://attack.mitre.org/software/S0686)