# Matanbuchus - O Loader MaaS Nomeado Após Demonio Biblico > **ATIVO (versao 3.0) | Loader MaaS | Windows | Global** - Matanbuchus e um loader do tipo Malware-as-a-Service anunciado por "BelialDemon" em fevereiro de 2021, originalmente por US$ 2.500/mes. Em julho de 2025, a versao 3.0 foi públicada com suporte a Teams social engineering, reverse shells CMD/PowerShell, evasão de syscalls indiretas e coleta de stack de segurança EDR das vitimas. Usado para distribuir [[s0154-cobalt-strike|Cobalt Strike]], QakBot e [[danabot|DanaBot]]. > [!warning] Matanbuchus 3.0 (julho 2025) > A versao mais recente introduz entrega via chamadas falsas do Microsoft Teams, sideloading de DLL via Notepad++ updater (GUP), e reconhecimento de produtos EDR instalados antes de definir o proximo payload. Versao HTTP: US$ 10.000; versao DNS: US$ 15.000. ## Visão Geral **Matanbuchus** (nome do demonio biblico também chamado "Matanbuchus" em textos apocrifos) e um loader MaaS desenvolvido por um operador com alias **BelialDemon** nos principais forums underground russos. O projeto foi anunciado em fevereiro de 2021 com preco inicial de US$ 2.500, posicionando-se como servico "boutique" com acesso limitado. O loader e construido em duas etapas distintas: um primeiro estagio leve de verificação e entrega, e um segundo estagio mais complexo responsavel pela coleta de informações e execução do payload. O design modular permite execução de DLLs via rundll32, EXEs em memoria, pacotes MSI e shellcode. | Campo | Detalhe | |-------|---------| | **Tipo** | Loader MaaS (2 estagios) | | **Desenvolvedor** | BelialDemon (identidade desconhecida) | | **Versao atual** | 3.0 (julho 2025) | | **Preco** | v3.0 HTTP: US$ 10.000; DNS: US$ 15.000 | | **Payloads tipicos** | Cobalt Strike, QakBot, DanaBot | | **Linguagem** | C++ (cliente) + Python (painel C2) | | **Status** | Ativo - desenvolvimento continuo | ## Visão Geral Técnica ### Arquitetura em Dois Estagios **Estagio 1 - Verificação e Entrega:** - Verifica idioma do sistema - CIS check (russo, ucraniano, bielorrusso, cirílico, armenio) - termina se detectado - Coleta informações básicas: nome do computador, dominio, privilegios de processo - Solicita ao C2 qual payload deve ser entregue ao alvo - Download e execução do segundo estagio via MSI, DLL (rundll32), EXE ou shellcode **Estagio 2 - Loader Principal:** - Coleta avancada: build do OS via recurso de versao do ntdll.dll (técnica nao-usual) - Enumera processos para detectar stack de segurança EDR instalada - Execução via regsvr32 (DllInstall), rundll32, msiexec ou process hollowing - Suporte a comandos WQL via WMI - PowerShell e CMD reverse shells (v3.0) - Persistência via tarefas agendadas e servico Windows ### Evolução por Versao ```mermaid graph TB A["Matanbuchus 1.0<br/>2021 - US$2.500/mes<br/>MSI + Macros Office<br/>Cobalt Strike / QakBot"] --> B["Matanbuchus 2.0<br/>2022-2024 - US$3.000-4.500<br/>RE: emails phishing<br/>ZIP > HTML > ZIP > MSI"] B --> C["Matanbuchus 3.0<br/>Julho 2025 - US$10.000<br/>Teams social engineering<br/>Notepad++ DLL sideloading<br/>EDR reconnaissance<br/>Indirect syscalls"] ``` ## Timeline ```mermaid timeline title Matanbuchus - Historico de Atividade 2021-02 : Anuncio no forum underground : BelialDemon - US$2.500/mes 2021-05 : Primeiras campanhas documentadas : Palo Alto Networks analisa v1.0 2022 : Campanha malspam com RE: fake : Distribui Cobalt Strike beacons : QakBot como payload alternativo 2024-05 : Nova onda de campanhas : Malvertising via Google Ads : eSentire documenta aumento 2024-09 : Campanha MSI via installer Notepad++ 2025-07 : Matanbuchus 3.0 publicado : Teams social engineering documentado : Morphisec publica análise técnica ``` ## TTPs MITRE ATT&CK | ID | Técnica | Uso | |----|---------|-----| | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spearphishing Attachment | Emails com ZIP contendo HTML > ZIP > MSI | | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | Usuario executa MSI ou JS malicioso | | [[t1218-007-msiexec\|T1218.007]] | Msiexec | MSI assinado com certificado DigiCert legitimo | | [[t1218-011-rundll32\|T1218.011]] | Rundll32 | Execução de DLL via rundll32.exe | | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | Persistência por tarefa executada a cada hora | | [[t1543-003-windows-service\|T1543.003]] | Windows Service | Servico "Power monitoring service" | | [[t1082-system-information-discovery\|T1082]] | System Information Discovery | Coleta host info antes de escolher payload | | [[t1497-virtualizationsandbox-evasion\|T1497]] | Sandbox Evasion | CIS check - verifica idioma do sistema | | [[t1059-001-powershell\|T1059.001]] | PowerShell | Reverse shell PowerShell (v3.0) | | [[t1055-012-process-hollowing\|T1055.012]] | Process Hollowing | Execução de payload em memoria | | [[t1105-ingress-tool-transfer\|T1105]] | Ingress Tool Transfer | Download de Cobalt Strike, QakBot | ## Impacto no Brasil / LATAM Matanbuchus tem relevância para o Brasil principalmente como distribuidor de [[s0154-cobalt-strike|Cobalt Strike]] e precursor de ransomware: - Organizacoes brasileiras que sofreram ataques Conti e Black Basta em 2023-2024 podem ter tido Matanbuchus como vetor inicial dado o uso deste loader por afiliados desses grupos - A versao 3.0 com social engineering via Teams e particularmente relevante para empresas multinacionais com operações no Brasil > [!tip] Detecção Prioritaria > O padrao de DLL sideloading via Notepad++ updater (GUP.exe carregando DLL maliciosa) e um indicador de alta fidelidade para Matanbuchus 3.0. Monitorar GUP.exe realizando conexoes de rede e altamente indicativo de comprometimento. ## Detecção e Caca a Ameaças ### Indicadores Comportamentais - `GUP.exe` (Notepad++ updater) realizando conexoes de rede inusitadas - MSI assinado sendo instalado via `msiexec.exe` após download de web - Criação de servico Windows "PowerControl" ou similar - Tarefa agendada executando DLL via regsvr32 com parametro `-i` - Processo enumerando lista de produtos de segurança/EDR via WMI ### KQL - Microsoft Sentinel ```kusto // GUP.exe do Notepad++ fazendo conexão de rede (indicativo Matanbuchus 3.0) DeviceNetworkEvents | where InitiatingProcessFileName == "GUP.exe" | where RemoteIPType != "Loopback" | project Timestamp, DeviceName, RemoteIP, RemotePort, InitiatingProcessFolderPath | sort by Timestamp desc ``` ## Referências - [Morphisec - Matanbuchus 3.0 (2025)](https://www.morphisec.com/blog/ransomware-threat-matanbuchus-3-0-maas-levels-up/) - [eSentire - Matanbuchus 2024](https://www.esentire.com/security-advisories/matanbuchus-malware) - [CyberArk - Inside Matanbuchus](https://www.cyberark.com/resources/threat-research-blog/inside-matanbuchus-a-quirky-loader) - [SOC Prime - Matanbuchus Detection](https://socprime.com/blog/matanbuchus-malware-detection-new-malspam-campaign-distributes-malware-loader-and-cobalt-strike/) - [Hunt.io - Matanbuchus Deep Dive](https://hunt.io/malware-families/matanbuchus)