# IceSXpert > Tipo: **malware** · [Pesquisa de campo] ## Descrição [[icesxpert|IceSXpert]] é um malware identificado em análises de ameaças como ferramenta de backdoor para Windows. O malware estabelece acesso remoto persistente ao sistema comprometido, comúnicando-se com servidores de comando e controle via HTTP com criptografia simétrica para proteger o conteúdo das comúnicações. Suas capacidades incluem execução de comandos de shell, descoberta de arquivos e sistema, e download de payloads adicionais - o conjunto típico de funcionalidades de um backdoor de primeiro ou segundo estágio em operações de espionagem ou crime cibernético. A persistência do IceSXpert é estabelecida via chaves de registro de inicialização do Windows, garantindo que o implante sobreviva a reinicializações do sistema. O uso de criptografia nas comúnicações C2 dificulta a análise do tráfego capturado e a identificação de comandos executados remotamente. A estrutura do malware sugere desenvolvimento por um ator com experiência em desenvolvimento de ferramentas de acesso remoto, possívelmente derivado de frameworks públicos ou de ferramentas de outros grupos. Como em outros backdoors de propósito geral, o IceSXpert pode ser empregado em diferentes fases de uma campanha: como implante de acesso inicial que estabelece persistência, como canal C2 para operações contínuas, ou como loader para ferramentas mais especializadas. A combinação de descoberta de sistema com capacidade de transferência de arquivos sugere uso em operações de coleta de inteligência onde a identificação do valor do alvo precede a exfiltração de dados específicos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] ## Detecção A detecção do IceSXpert deve focar em seus comportamentos de persistência e comunicação C2. Monitorar criação de chaves de registro de inicialização por processos incomuns (Sysmon Event ID 13) é um indicador de persistência. Análise de tráfego de rede para identificar padrões de beacon HTTP com criptografia é eficaz. Correlação entre processos que fazem conexões de rede mas não correspondem a aplicações conhecidas e criação subsequente de arquivos temporários ou execução de comandos é um indicador comportamental composto. ## Relevância LATAM/Brasil Backdoors de propósito geral como o IceSXpert são relevantes para o Brasil como representantes de uma classe ampla de ameaças que afetam empresas de todos os tamanhos. As técnicas de persistência via registro e comunicação C2 via HTTP são padrões universais usados por grupos que atacam o Brasil. A detecção dessas técnicas genéricas - via ferramentas de EDR com análise comportamental - é mais valiosa que a detecção de ferramentas específicas. ## Referências - [MITRE ATT&CK - T1547.001](https://attack.mitre.org/techniques/T1547/001/)