s0254-plaintee - RunkIntel

# PLAINTEE > Tipo: **malware** · S0254 · [MITRE ATT&CK](https://attack.mitre.org/software/S0254) ## Descrição [[s0254-plaintee|PLAINTEE]] é uma amostra de malware utilizada pelo [[g0075-rancor|Rancor]] em ataques direcionados na Singapura e no Cambojá, identificada originalmente pela Palo Alto Networks em 2018. O PLAINTEE é um RAT de funcionalidade simples projetado para estabelecer foothold inicial em sistemas Windows comprometidos, coletar informações de reconhecimento e baixar payloads adicionais do servidor C2. O malware estabelece persistência através de chaves de Run do registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e modifica o registro para armazenar configurações ([[t1112-modify-registry|T1112]]). Utiliza bypass de UAC ([[t1548-002-bypass-user-account-control|T1548.002]]) para operar com privilégios elevados sem alertar o usuário, e emprega criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) na comunicação C2. Frequentemente foi entregue em conjunto com o [[s0255-ddkong|DDKONG]], outra ferramenta do [[g0075-rancor|Rancor]], em campanhas de spearphishing usando documentos isca relacionados a eventos geopolíticos no Sudeste Asiático. O [[g0075-rancor|Rancor]] é um grupo de ameaça com foco geográfico no Sudeste Asiático, particularmente em organizações governamentais, militares e de política em Singapura, Cambojá e países vizinhos. As campanhas documentadas utilizam documentos isca em formato DDDE (Dynamic Data Exchange) e macros VBA para entrega inicial, indicando desenvolvimento ativo de capacidades de engenharia social adaptadas ao contexto regional. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0075-rancor|Rancor]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `cmd.exe` ou `powershell.exe` como processo filho de aplicativos Office - indicativo de macro maliciosa entregando PLAINTEE - **Windows Registry:** Criação de valor em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` com caminho para arquivo em diretório temporário ou de usuário - **Sysmon Event ID 3 (NetworkConnect):** Conexões de saída para IPs/domínios C2 logo após execução de documento Office suspeito **Regras de detecção:** - Sigma: Detecção de processo Office (winword.exe, excel.exe) spawning cmd.exe ou powershell.exe com argumentos ofuscados - YARA: Strings internas e estruturas de protocolo C2 do PLAINTEE identificadas por Palo Alto Unit 42 (2018) ## Relevância LATAM/Brasil O [[g0075-rancor|Rancor]] atua principalmente no Sudeste Asiático, tornando a relevância direta para o Brasil baixa. No entanto, as TTPs do grupo - documentos isca com macros, persistência via registro e download de payloads secundários - são amplamente replicadas por grupos de ameaça que operam na América Latina. Analistas brasileiros podem usar o PLAINTEE como caso de estudo para compreender a categoria de RATs de primeiro estágio entregues via phishing, padrão comum em ataques contra o setor financeiro e governamental brasileiro. ## Referências - [MITRE ATT&CK - S0254](https://attack.mitre.org/software/S0254) - [Palo Alto Unit 42 - Rancor: Targeted Attacks in South East Asia](https://unit42.paloaltonetworks.com/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/) - Junho 2018