# BBK > Tipo: **malware** · S0470 · [MITRE ATT&CK](https://attack.mitre.org/software/S0470) ## Descrição [[s0470-bbk|BBK]] é um downloader utilizado pelo [[g0060-bronze-butler|BRONZE BUTLER]] (também conhecido como Tick, RedBaldKnight) desde pelo menos 2019. Funciona como um componente de primeiro estágio que baixa e executa payloads adicionais a partir de servidores C2, comumente utilizado em campanhas de espionagem direcionadas a organizações jáponesas nos setores de tecnologia, defesa e manufatura. O [[s0470-bbk|BBK]] emprega esteganografia (T1027.003) para ocultar dados maliciosos dentro de imagens aparentemente inócuas, dificultando a inspeção por soluções de segurança de rede. A comunicação C2 é estabelecida via protocolos web padrão (T1071.001), com payloads sendo transferidos por injeção de processo (T1055) em processos legítimos do Windows. O uso da API nativa do Windows (T1106) permite que o malware execute operações de baixo nível sem acionar muitos controles de segurança baseados em API de alto nível. A atribuição ao [[g0060-bronze-butler|BRONZE BUTLER]] é suportada por sobreposições com outras ferramentas do grupo e pela consistência dos alvos com o histórico de operações do grupo - focado em roubo de propriedade intelectual de empresas jáponesas de alta tecnologia. O grupo tem sido rastreado pela SecureWorks CTU e pesquisadores da JPCERT/CC, que documentaram extensivamente o uso do [[s0470-bbk|BBK]] em intrusões persistentes de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-process-injection|T1055 - Process Injection]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1106-native-api|T1106 - Native API]] ## Grupos que Usam - [[g0060-bronze-butler|BRONZE BUTLER]] ## Detecção - **Sysmon Event ID 7** (Image Load): monitorar carregamento de DLLs não assinadas em processos de sistema legítimos como indicador de injeção de processo (T1055) - **Sysmon Event ID 3** (Network Connection): detectar comúnicações HTTP de processos do Windows que normalmente não realizam chamadas de rede externas - **EDR**: alertar em análise de imagens com cargas incomuns (arquivos PNG/JPG com entropia elevada ou tamanho desproporcional ao conteúdo visual) como indicativo de esteganografia (T1027.003) - **Referência Sigma**: `proc_creation_win_suspicious_process_injection.yml` (Sigma HQ) para detecção de injeção em processos legítimos ## Relevância LATAM/Brasil Embora o [[g0060-bronze-butler|BRONZE BUTLER]] atue predominantemente contra alvos jáponeses, as técnicas de esteganografia e injeção de processo utilizadas pelo [[s0470-bbk|BBK]] são amplamente replicadas por grupos de espionagem que operam na América Latina. Empresas brasileiras com subsidiárias ou parcerias tecnológicas no Jápão ou com propriedade intelectual de interesse estratégico devem estar cientes dessas táticas. A métodologia do [[s0470-bbk|BBK]] serve como referência para detecção de downloaders de espionagem similares documentados em campanhas contra o setor de defesa e energia no Brasil. ## Referências - [MITRE ATT&CK - S0470](https://attack.mitre.org/software/S0470)