# LimeRAT > [!high] RAT open source multiuso adotado pelo Blind Eagle em campanhas LATAM - combina espionagem, ransomware e mineração em um único agente > LimeRAT é um Remote Access Trojan escrito em C# e disponível públicamente no GitHub desde 2018. Apesar de se apresentar como ferramenta educacional, foi amplamente adotado por grupos criminosos e APTs como o **Blind Eagle** (APT-C-36) em campanhas na América Latina - especialmente Colômbia, Equador e Brasil. Combina capacidades de RAT, ransomware, keylogger, minerador de Monero e worm em um único payload leve de ~25 KB. ## Visão Geral LimeRAT é um Remote Access Trojan de código aberto originalmente públicado no GitHub pelo usuário NYAN-x-CAT em 2018 como "ferramenta educacional para .NET". O repositório foi arquivado (read-only) em junho de 2019, mas a facilidade de acesso e a documentação detalhada tornaram o LimeRAT um dos RATs mais populares entre grupos criminosos de todos os níveis de sofisticação - de operadores amadores a grupos APT organizados. A característica mais distintiva do LimeRAT é sua versatilidade excepcional: em um único payload de apenas ~25 KB, o operador pode ativar ransomware (extensão `.Lime`), mineração de Monero (XMR) via XMRig integrado, keylogging, roubo de criptomoedas, controle remoto completo (RDP), screen locker, DDoS, e propagação como worm via dispositivos USB. Toda a comunicação cliente-servidor é cifrada com AES-128 bits, e o endereço C2 pode ser armazenado em serviços externos como Pastebin para dificultar rastreamento. O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] (APT-C-36), grupo de ameaça persistente avançada suspeito de origem sul-americana ativo desde pelo menos 2018, usa o LimeRAT regularmente em seu arsenal rotativo de RATs - alternando entre [[s1087-asyncrat|AsyncRAT]], [[bitrat|BitRAT]], [[s0385-njrat|njRAT]], [[remcos-rat|Remcos RAT]] e LimeRAT dependendo dos objetivos da campanha. Pesquisadores da Lab52 e Blackberry documentaram campanhas do Blind Eagle com LimeRAT visando principalmente entidades governamentais colombianas, instituições financeiras e setor jurídico. A cadeia de infecção típica usa documentos maliciosos com objetos OLE ou macros, VBScript em múltiplos estágios e process hollowing para execução furtiva em memória. Uma análise da Lab52 (2023) revelou que as campanhas do Blind Eagle com LimeRAT compartilham a mesma infraestrutura de cinco estágios usada com NjRAT - apenas o payload final muda. O grupo usa DuckDNS para infraestrutura dinâmica de C2, hospeda payloads em serviços públicos como Google Drive e Discord, e emprega roteadores ISP colombianos comprometidos como proxy reverso para obscurecer a infraestrutura real. ## Como Funciona ```mermaid graph TB A["📧 Phishing via DIAN/banco<br/>Arquivo ZIP ou Office malicioso"] --> B["📄 OLE object ou macro<br/>Executa WSF/VBScript"] B --> C["🌐 Download em estágios<br/>Google Drive, Discord, Pastebin"] C --> D["🔒 Obfuscação AES-128<br/>Payload cifrado em Base64/MD5"] D --> E["💉 Process Hollowing<br/>LimeRAT em processo legítimo"] E --> F["📡 C2 via porta alta<br/>DuckDNS + AES encriptado"] F --> G["🎯 Objetivos variáveis<br/>Espionagem ou ransomware .Lime"] G --> H["⛏️ Monero mining<br/>XMRig integrado - T1496"] ``` ## Capacidades do LimeRAT | Módulo | Funcionalidade | |--------|---------------| | **Acesso remoto** | RDP forçado, shell remota, gerenciamento de arquivos e processos | | **Keylogger** | Captura de teclado com timestamp e nome da aplicação ([[t1056-001-keylogging\|T1056.001]]) | | **Ransomware** | Criptografia de todos os arquivos com extensão `.Lime` ([[t1486-data-encrypted-for-impact\|T1486]]) | | **Mineração** | XMRig para Monero (XMR), otimizado para idle/ativo ([[t1496-resource-hijacking\|T1496]]) | | **Worm USB** | Propaga-se para dispositivos removíveis conectados ([[t1091-replication-through-removable-media\|T1091]]) | | **Cripto stealer** | Roubo de carteiras de criptomoeda e Bitcoin grabber | | **Screen locker** | Bloqueia acesso ao desktop Windows | | **DDoS** | Capacidade de flood (método ARME e outros) | | **Downloader** | Baixa e executa payloads adicionais do C2 | | **Anti-VM** | Desinstala se detectar ambiente virtualizado | ## Ecossistema e Infraestrutura Blind Eagle ```mermaid graph TB A["🦅 Blind Eagle / APT-C-36"] --> B["RAT arsenal rotativo"] B --> C["LimeRAT - .NET C#"] B --> D["AsyncRAT"] B --> E["njRAT"] B --> F["BitRAT - Camellia cipher"] B --> G["Remcos RAT"] A --> H["Infraestrutura"] H --> I["DuckDNS C2 dinâmico"] H --> J["Discord/GDrive payload hosting"] H --> K["ISP routers comprometidos"] H --> L["Pastebin C2 lookup"] ``` ## Detecção e Defesa **Indicadores comportamentais específicos do LimeRAT:** - Processo .NET com menos de 30 KB iniciando conexões de saída para endereços DuckDNS (padrão `*.duckdns.org`) via porta alta (> 1024) - Criação de entrada de persistência em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por processo não-administrativo após abertura de documento Office - Acesso a `%AppData%` por processo filho de Word/Excel seguido de conexão de rede imediata - Criptografia em massa de arquivos com extensão `.Lime` por processo .NET - indicativo de módulo ransomware ativado **Regra de detecção (Sysmon):** - **Event ID 1** (Process Create): processo `.NET` filho de `wscript.exe` ou `cscript.exe` - **Event ID 3** (Network Connect): processo .NET conectando a `*.duckdns.org` em porta > 1024 **Defesas:** - Bloquear execução de VBScript e WSF por e-mail e downloads ([[t1059-005-visual-basic\|T1059.005]]) - Política de execução PowerShell restrita (AllSigned ou RemoteSigned) - EDR com detecção de process hollowing: monitorar `CreateProcess` + `ZwUnmapViewOfSection` + `WriteProcessMemory` em sequência - Bloquear conexões de saída para serviços DuckDNS em ambientes corporativos ## Relevância LATAM/Brasil O LimeRAT tem relevância crítica para o Brasil. O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] usa ativamente o LimeRAT em campanhas contra entidades governamentais, judiciais e financeiras na América Latina, com campanhas documentadas visando Colômbia, Equador, Argentina e Brasil. Em 2024, a Kaspersky reportou que o grupo expandiu operações com infraestrutura adaptada para alvos brasileiros. O preço zero (open source) e a facilidade de uso tornam o LimeRAT acessível a grupos criminosos locais brasileiros de qualquer nível de sofisticação - amplificando sua superfície de ameaça além dos grupos APT organizados que o adotam como [[s1087-asyncrat|AsyncRAT]] e [[s0385-njrat|njRAT]]. Setores de maior risco no Brasil: - Entidades governamentais e judiciário - Setor financeiro e bancário - Universidades e centros de pesquisa - Indivíduos com carteiras de criptomoeda ## Referências - [Cofense Intelligence - Lime RAT: The Versatile Malware That Caught Our Eye](https://cofense.com/blog/lime-rat-caught-eye-versatile-malware-works/) - 2019 - [Lab52 - APT-C-36: from NjRAT to LimeRAT](https://lab52.io/blog/apt-c-36-from-njrat-to-apt-c-36/) - 2023 - [Kaspersky GReAT - BlindEagle APT](https://securelist.com/blindeagle-apt/113414/) - 2024 - [ANY.RUN - LimeRAT Malware Analysis](https://any.run/malware-trends/limerat/) - 2023 - [Malpedia - LimeRAT](https://malpedia.caad.fkie.fraunhofer.de/details/win.limerat) - [GitHub - NYAN-x-CAT/Lime-RAT (arquivado)](https://github.com/NYAN-x-CAT/Lime-RAT)