# ABK > Tipo: **malware** · S0469 · [MITRE ATT&CK](https://attack.mitre.org/software/S0469) ## Descrição [[s0469-abk|ABK]] é um downloader utilizado pelo [[g0060-bronze-butler|BRONZE BUTLER]] (também conhecido como REDBALDKNIGHT ou Tick) desde pelo menos 2019. Trata-se de um componente de estágio inicial da cadeia de infecção deste grupo APT jáponês, com foco em espionagem contra alvos de tecnologia e defesa. O ABK realiza a descoberta de softwares de segurança instalados ([[t1518-001-security-software-discovery|T1518.001]]) e, em seguida, faz download e executa payloads adicionais a partir de servidores C2 controlados pelo grupo. Para evasão de defesas, o ABK utiliza [[t1027-003-steganography|esteganografia]] para ocultar dados em imagens aparentemente inofensivas, além de empregar [[t1055-process-injection|injeção de processos]] para executar código malicioso no contexto de processos legítimos. O canal de C2 opera sobre [[t1071-001-web-protocols|protocolos web]] padrão (HTTP/HTTPS), dificultando a detecção por inspeção de tráfego. A capacidade de decodificar arquivos ofuscados ([[t1140-deobfuscatedecode-files-or-information|T1140]]) indica que o payload final é entregue de forma codificada. O [[g0060-bronze-butler|BRONZE BUTLER]] é um grupo APT atribuído à China que historicamente foca em empresas jáponesas de tecnologia, pesquisa e defesa. O ABK foi identificado em operações de espionagem industrial conduzidas contra o Jápão e outras nações desenvolvidas. A infraestrutura C2 do ABK frequentemente reutiliza domínios comprometidos ou registrados com dados fictícios para dificultar a atribuição. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Grupos que Usam - [[g0060-bronze-butler|BRONZE BUTLER]] ## Detecção - **Sysmon Event ID 7** (Image Loaded) e **Event ID 8** (CreateRemoteThread): monitorar injeção de código em processos legítimos como `explorer.exe` ou `svchost.exe`, técnica usada pelo ABK para evasão. - **Análise de imagens**: inspecionar tráfego de rede em busca de imagens PNG ou JPEG com tamanho anômalo (maior do que o esperado para a dimensão), indicando possível esteganografia para transporte de C2. - **EDR telemetria**: alertar sobre processos que fazem download de executáveis ou DLLs de URLs com parâmetros de query incomuns, padrão C2 do BRONZE BUTLER. - **Referência Sigma**: `proc_creation_win_susp_proc_injection.yml` - detecção de injeção de processo suspeita. ## Relevância LATAM/Brasil O [[g0060-bronze-butler|BRONZE BUTLER]] foca exclusivamente em alvos jáponeses e de nações aliadas ao Jápão nos setores de tecnologia, defesa e pesquisa. Não há registro de campanhas deste grupo ou do downloader ABK na América Latina ou no Brasil. O ABK tem relevância para organizações brasileiras com parcerias tecnológicas com o Jápão ou que atuem como fornecedores de cadeias de suprimento de empresas jáponesas, pois podem ser alvo indireto. ## Referências - [MITRE ATT&CK - S0469](https://attack.mitre.org/software/S0469)