# Downdelph > Tipo: **malware** · S0134 · [MITRE ATT&CK](https://attack.mitre.org/software/S0134) ## Descrição [[s0134-downdelph|Downdelph]] é um downloader de primeiro estágio escrito em Delphi utilizado pelo [[g0007-apt28|APT28]] em casos raros entre 2013 e 2015. Documentado por pesquisadores da ESET, o Downdelph se destaca pelo uso de mecanismos de persistência incomuns - bootkit e hijacking de DLL - que indicam alto grau de sofisticação e acesso a recursos de desenvolvimento especializados, característicos de um grupo APT patrocinado por estado. O uso de Delphi como linguagem de desenvolvimento é incomum entre malwares do APT28, sugerindo tratar-se de uma ferramenta desenvolvida por um subgrupo específico ou contratado. O [[s0134-downdelph|Downdelph]] utiliza steganografia para ocultar configuração e comunicação: os dados de configuração são escondidos dentro de imagens JPEG baixadas de sites legítimos como a rede social russa VKontakte. Essa técnica de esteganografia dificulta tanto a detecção de tráfego C2 quanto a análise forense das comúnicações. O malware insere dados lixo no tráfego de rede ([[t1001-001-junk-data|T1001.001]]) para frustrar análise de protocolo. O mecanismo de contornar UAC ([[t1548-002-bypass-user-account-control|T1548.002]]) permite a instalação do bootkit com privilégios elevados. A raridade de uso documentada para o [[s0134-downdelph|Downdelph]] - apenas alguns casos confirmados - pode indicar que foi reservado para alvos de alto valor onde o [[g0007-apt28|APT28]] desejava máxima furtividade, ou que foi descoberto e descontinuado rapidamente após exposição. Em qualquer caso, representa evidência da capacidade do grupo de desenvolver e manter um arsenal diverso de ferramentas especializadas, cada uma com propósito e mecanismos específicos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1001-001-junk-data|T1001.001 - Junk Data]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1574-001-dll|T1574.001 - DLL]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Detecção - Monitorar acesso a imagens JPEG de sites de redes sociais por processos do sistema ([[t1001-001-junk-data|T1001.001]]) - Detectar tentativas de bypass de UAC por processos não relacionados a instalações legítimas ([[t1548-002-bypass-user-account-control|T1548.002]]) - Identificar DLL hijacking em caminhos de carregamento de executáveis legítimos ([[t1574-001-dll|T1574.001]]) - Monitorar modificações no setor de boot e registro MBR - indicador de instalação de bootkit - Alertar sobre downloads de arquivos com extensões de imagem (JPEG, PNG) contendo payloads ocultos ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] com seu arsenal diversificado - incluindo o [[s0134-downdelph|Downdelph]] - representa uma ameaça para qualquer organização com relevância geopolítica ou estratégica. No Brasil, alvos potenciais incluem infraestrutura governamental, organizações militares, empresas de defesa e mídia. A sofisticação técnica do Downdelph (steganografia, bootkit) indica uso em campanhas de espionagem de longo prazo onde detecção precoce seria catastrófica para o operador - padrão consistente com espionagem de nível estatal. A técnica de steganografia em imagens de redes sociais é especialmente difícil de detectar em ambientes com monitoramento de rede limitado. ## Referências - [MITRE ATT&CK - S0134](https://attack.mitre.org/software/S0134) - [ESET - En Route with Sednit Part 3](https://www.welivesecurity.com/2016/10/20/en-route-with-sednit-part-3-a-mysterious-downloader/)