# SHUTTERSPEED > Tipo: **malware** · S0217 · [MITRE ATT&CK](https://attack.mitre.org/software/S0217) ## Descrição [[s0217-shutterspeed|SHUTTERSPEED]] é um backdoor utilizado pelo [[g0067-apt37|APT37]] (Reaper, Group123) - grupo de espionagem cibernética atribuído à Coreia do Norte - , com foco principal em operações de vigilância contra dissidentes norte-coreanos, organizações de direitos humanos e governos da região Ásia-Pacífico. O nome do malware refere-se à sua capacidade mais característica: captura periódica e automatizada de screenshots do sistema comprometido ([[t1113-screen-capture|T1113]]), funcionando como uma ferramenta de vigilância visual contínua. O [[s0217-shutterspeed|SHUTTERSPEED]] coleta informações do sistema ([[t1082-system-information-discovery|T1082]]) e utiliza essa coleta como parte do processo de triagem inicial das vítimas - permitindo que os operadores do [[g0067-apt37|APT37]] avaliem o valor do alvo antes de implantar ferramentas mais pesadas como o [[s0240-rokrat|ROKRAT]]. A capacidade de download de payloads adicionais ([[t1105-ingress-tool-transfer|T1105]]) posiciona o [[s0217-shutterspeed|SHUTTERSPEED]] como parte de uma cadeia de ataque em múltiplos estágios, onde ele serve como primeiro estágio de acesso antes da entrega do payload principal. O [[g0067-apt37|APT37]] utiliza um arsenal diverso de malwares customizados - incluindo [[s0240-rokrat|ROKRAT]], [[rsh|RSH]], [[fattyduke|FattyDuke]] e outros - , cada um projetado para uma função específica dentro da kill chain. O [[s0217-shutterspeed|SHUTTERSPEED]] se encaixa no papel de vigilância inicial e download de segundo estágio, demonstrando a especialização funcional do arsenal do grupo. As capturas de tela são especialmente valiosas para espionagem de comúnicações - o malware pode capturar conteúdo de emails, mensagens instantâneas e documentos abertos que não seriam acessíveis por outros meios. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1113-screen-capture|T1113 - Screen Capture]] ## Grupos que Usam - [[g0067-apt37|APT37]] ## Detecção - Monitorar acesso à API de captura de tela do Windows (`BitBlt`, `GDI+`) por processos de background não relacionados a aplicações de produtividade - Detectar criação periódica de imagens (BMP, PNG, JPEG) em diretórios temporários ou AppData por processos suspeitos - Alertar sobre download de executáveis via HTTP/HTTPS por processos que não são gerenciadores de pacotes ou atualizadores conhecidos - Implementar análise comportamental para identificar processos que alternam entre discovery e captura de tela - Monitorar upload de imagens para servidores externos por processos não relacionados a serviços de compartilhamento de fotos ## Relevância LATAM/Brasil O [[g0067-apt37|APT37]] foca primariamente em alvos na Coreia do Sul e no ecossistema da diáspora norte-coreana, mas as técnicas de captura de tela para espionagem são amplamente utilizadas por grupos de vigilância que operam na América Latina - incluindo operações de vigilância estatal contra jornalistas, ativistas e opositores políticos. O modelo de captura periódica de tela é uma das técnicas de spyware mais eficazes para vigilância de comúnicações em dispositivos onde o usuário acessa informações sensíveis em tela, relevante para o contexto de segurança digital de jornalistas e ativistas brasileiros. ## Referências - [MITRE ATT&CK - S0217](https://attack.mitre.org/software/S0217)