# Avenger > Tipo: **malware** · S0473 · [MITRE ATT&CK](https://attack.mitre.org/software/S0473) ## Descrição [[s0473-avenger|Avenger]] é um downloader utilizado pelo [[g0060-bronze-butler|BRONZE BUTLER]] (REDBALDKNIGHT/Tick) desde pelo menos 2019, atuando como componente de estágio inicial na cadeia de infecção desse grupo APT de origem chinesa voltado à espionagem industrial contra o Jápão. O Avenger é responsável por baixar e executar payloads de segunda fase a partir de servidores C2, agindo após o comprometimento inicial do alvo. Para evasão de defesas, o Avenger utiliza esteganografia ([[t1027-003-steganography|T1027.003]]) para ocultar dados de configuração ou payloads em imagens, e arquivos cifrados/codificados ([[t1027-013-encryptedencoded-file|T1027.013]]) que são decodificados em runtime ([[t1140-deobfuscatedecode-files-or-information|T1140]]). O malware realiza extensa descoberta antes de baixar próximos estágios: processos em execução ([[t1057-process-discovery|T1057]]), software de segurança instalado ([[t1518-001-security-software-discovery|T1518.001]]), configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]) e arquivos do sistema ([[t1083-file-and-directory-discovery|T1083]]). O download do payload ocorre via HTTP ([[t1071-001-web-protocols|T1071.001]]) com injeção no processo host ([[t1055-process-injection|T1055]]). O [[g0060-bronze-butler|BRONZE BUTLER]] é atribuído à China e foca predominantemente em empresas jáponesas de tecnologia, defesa e pesquisa, com interesse em propriedade intelectual. O Avenger foi identificado ao lado do downloader [[s0469-abk|ABK]] como parte do arsenal de estágio inicial do grupo, com as ferramentas compartilhando técnicas de esteganografia e infraestrutura C2 similar. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Grupos que Usam - [[g0060-bronze-butler|BRONZE BUTLER]] ## Detecção - **Análise de imagens em tráfego de rede**: inspecionar imagens baixadas em requisições HTTP por anomalias no tamanho (diferença entre dimensões declaradas e tamanho real do arquivo) - indicador de esteganografia usada pelo Avenger para ocultar payloads. - **Sysmon Event ID 8** (CreateRemoteThread): alertar sobre injeção de thread em processos legítimos como `explorer.exe` ou `svchost.exe` por processos de origem não esperada. - **EDR telemetria**: detectar execução de descoberta de sistema (systeminfo, ipconfig, tasklist, netstat) seguida de conexão HTTP para baixar arquivo executável em curto intervalo. - **Referência Sigma**: `proc_creation_win_susp_proc_injection.yml` e `net_connection_win_susp_binary_download.yml` - cobrindo injeção de processo e download suspeito de binários via HTTP. ## Relevância LATAM/Brasil O [[g0060-bronze-butler|BRONZE BUTLER]] opera com foco exclusivo em alvos jáponeses e de aliados do Jápão nos setores de tecnologia e defesa. Não há registros de campanhas do Avenger direcionadas ao Brasil ou à América Latina. Entretanto, empresas brasileiras que fazem parte de cadeias de suprimento de empresas jáponesas no setor automotivo, eletrônico ou de manufatura de precisão podem representar alvos indiretos de interesse para o grupo. ## Referências - [MITRE ATT&CK - S0473](https://attack.mitre.org/software/S0473)