# YAHOYAH > Tipo: **malware** · S0388 · [MITRE ATT&CK](https://attack.mitre.org/software/S0388) ## Descrição [[s0388-yahoyah|YAHOYAH]] é um trojan de segundo estágio utilizado pelo grupo [[g0081-tropic-trooper|Tropic Trooper]] (também conhecido como KeyBoy e Earth Centaur), um ator de ameaça com nexo chinês ativo desde pelo menos 2011. Como backdoor de estágio posterior, o YAHOYAH é implantado após comprometimento inicial bem-sucedido e serve para expandir o acesso do operador, baixar ferramentas adicionais e realizar reconhecimento detalhado do ambiente comprometido. O [[g0081-tropic-trooper|Tropic Trooper]] historicamente tem como alvos governos, militares, saúde e transporte em Taiwan, Filipinas e outras regiões do Indo-Pacífico. O YAHOYAH realiza descoberta sistemática do ambiente: coleta informações detalhadas do sistema, identifica software de segurança instalado para auxiliar na evasão, e se comúnica com servidores C2 via protocolos HTTP com dados codificados/criptografados para dificultar inspeção. A capacidade de download de ferramentas adicionais permite ao operador expandir capacidades conforme necessário - transformando o YAHOYAH em uma plataforma de acesso para implantação de payloads mais especializados conforme os objetivos da operação de espionagem. O [[g0081-tropic-trooper|Tropic Trooper]] utiliza o YAHOYAH como parte de um arsenal multi-estágio: após comprometimento inicial via phishing ou exploração de aplicações web, um loader de primeiro estágio baixa e executa o YAHOYAH, que então realiza reconhecimento e establece comunicação C2 persistente. Essa abordagem em camadas dificulta a contenção - mesmo que o primeiro estágio sejá detectado, o YAHOYAH pode já estar estabelecido e operar independentemente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] ## Grupos que Usam - [[g0081-tropic-trooper|Tropic Trooper]] ## Detecção A detecção do YAHOYAH deve focar em: downloads de arquivos executáveis por processos que não são browsers ou gerenciadores de pacotes, comúnicações HTTP com encoding de dados em parâmetros ou corpo de requisição para domínios não reconhecidos, e enumeração de software de segurança por processos incomuns. Correlação de eventos de descoberta do sistema com comúnicações de rede posteriores é um indicador de segunda fase. Soluções EDR que detectam cadeia de processos pai-filho anômalos (loader → YAHOYAH) e análise comportamental de processos são os controles de detecção mais eficazes. ## Relevância LATAM/Brasil O [[g0081-tropic-trooper|Tropic Trooper]] tem foco geográfico primário no Indo-Pacífico, com pouca atividade documentada diretamente na América Latina. No entanto, as técnicas de backdoor de segundo estágio do YAHOYAH são representativas de uma classe de ameaças que qualquer organização governamental ou de infraestrutura crítica pode enfrentar. Empresas brasileiras com operações ou parcerias em Taiwan, Filipinas ou outros países do Indo-Pacífico devem incluir o [[g0081-tropic-trooper|Tropic Trooper]] em seus threat models. As técnicas de evasão via descoberta de software de segurança são universalmente relevantes para equipes de detecção brasileiras. ## Referências - [MITRE ATT&CK - S0388](https://attack.mitre.org/software/S0388)