# KONNI > Tipo: **malware** · S0356 · [MITRE ATT&CK](https://attack.mitre.org/software/S0356) ## Descrição [[konni|KONNI]] é uma ferramenta de acesso remoto (RAT) avaliada por pesquisadores de segurança como utilizada por atores cibernéticos norte-coreanos desde pelo menos 2014, com atividade documentada continuando até 2023 e além. O [[konni|KONNI]] possui sobreposição significativa de código com a família de malware [[s0353-nokki|NOKKI]], e evidências técnicas potencialmente vinculam ambos ao [[g0067-apt37|APT37]] (também conhecido como ScarCruft ou Reaper), grupo de espionagem cibernética norte-coreano ativo desde pelo menos 2012. Campanhas com o [[konni|KONNI]] foram direcionadas a organizações políticas, diplomáticas e governamentais na Rússia, Leste Asiático, Europa e Oriente Médio. As capacidades do [[konni|KONNI]] incluem coleta de credenciais de navegadores web ([[t1555-003-credentials-from-web-browsers|T1555.003]]), exfiltração de dados locais ([[t1005-data-from-local-system|T1005]]), descoberta abrangente do ambiente (processos, rede, conexões, usuário) e comunicação C2 via protocolos web ([[t1071-001-web-protocols|T1071.001]]). O malware emprega técnicas sofisticadas de evasão: spoofing de PID pai ([[t1134-004-parent-pid-spoofing|T1134.004]]), bypass de UAC ([[t1548-002-bypass-user-account-control|T1548.002]]), software packing ([[t1027-002-software-packing|T1027.002]]) e hijacking de COM ([[t1546-015-component-object-model-hijacking|T1546.015]]) para garantir execução privilegiada e persistência furtiva. A distribuição do [[konni|KONNI]] ocorre principalmente via documentos maliciosos de isca ([[t1204-002-malicious-file|T1204.002]]) temáticos - relatórios políticos sobre a península coreana, documentos diplomáticos e notícias em russo - entregues por email a alvos selecionados. A exfiltração de dados ocorre via protocolo não criptografado ([[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003]]), e arquivos são deletados após a coleta ([[t1070-004-file-deletion|T1070.004]]) para minimizar rastros forenses. A longevidade do [[konni|KONNI]] - mais de uma década de atividade contínua - demonstra sua eficácia como ferramenta de espionagem persistente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1546-015-component-object-model-hijacking|T1546.015 - Component Object Model Hijacking]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1134-004-parent-pid-spoofing|T1134.004 - Parent PID Spoofing]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] ## Detecção A detecção do [[konni|KONNI]] foca na análise de documentos maliciosos de isca e nos comportamentos pós-execução. Gateways de email devem inspecionar documentos Office com macros VBScript e arquivos .lnk que executam scripts ao serem abertos. Comportamentos pós-comprometimento detectáveis incluem: spawning de processos filhos de aplicações Office executando cmd.exe ([[t1059-003-windows-command-shell|T1059.003]]) ou wscript.exe; bypass de UAC ([[t1548-002-bypass-user-account-control|T1548.002]]) detectável por monitoramento de criação de processo com elevação de privilégio inesperada; e hijacking de COM ([[t1546-015-component-object-model-hijacking|T1546.015]]) detectável por alterações em chaves de registro HKCU\Software\Classes\CLSID\. O monitoramento de acesso a bancos de dados de credenciais de navegadores (perfis Chrome/Firefox/Edge em AppData) por processos não-navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]), exfiltração via protocolo não-criptografado ([[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003]]) e spoofing de PID pai ([[t1134-004-parent-pid-spoofing|T1134.004]]) detectável por discrepâncias na árvore de processos são indicadores complementares de alto valor para SOC. ## Relevância LATAM/Brasil O [[konni|KONNI]] é operado por atores norte-coreanos com foco primário em alvos geopolíticos na Rússia, Ásia e Europa. A relevância para o Brasil é indireta mas crescente: embaixadas e missões diplomáticas da Coreia do Norte na América Latina, bem como organizações brasileiras com contatos governamentais com países que negociam questões relacionadas à Coreia do Norte (como programas nucleares e sanções), podem ser alvos de campanhas de espionagem. Adicionalmente, o crescente interesse norte-coreano em exchanges de criptomoedas e plataformas financeiras digitais globais representa um vetor de risco para o setor de criptoativos brasileiro, que tem experimentado crescimento acelerado nos últimos anos. ## Referências - [MITRE ATT&CK - S0356](https://attack.mitre.org/software/S0356)