# PolyglotDuke > Tipo: **malware** · S0518 · [MITRE ATT&CK](https://attack.mitre.org/software/S0518) ## Descrição [[s0518-polyglotduke|PolyglotDuke]] é um downloader utilizado pelo [[g0016-apt29|APT29]] desde pelo menos 2013, identificado pela ESET como parte da família "Duke" de ferramentas do grupo (MiniDuke, CosmicDuke, OnionDuke, etc.). O PolyglotDuke é notável por sua técnica de recuperação do servidor C2: em vez de se conectar diretamente a um endereço IP hardcoded, ele atua como um dead drop resolver ([[t1102-001-dead-drop-resolver|T1102.001]]), buscando instruções em plataformas públicas como Twitter, Reddit e Imgur - dificultando extremamente o bloqueio por listas de negação de IP/domínio. O nome "Polyglot" deriva da capacidade do malware de extrair configurações de C2 codificadas em múltiplos formatos de imagem e texto usando esteganografia ([[t1027-003-steganography|T1027.003]]). O conteúdo de um tweet aparentemente inócuo ou de uma imagem pública pode conter o endereço C2 codificado em pixels ou em texto disfarçado, tornando a detecção por análise de conteúdo de rede práticamente impossível sem descriptografia. O armazenamento sem arquivo ([[t1027-011-fileless-storage|T1027.011]]) garante que o PolyglotDuke persista no registro ([[t1112-modify-registry|T1112]]) sem deixar artefatos em disco. O PolyglotDuke foi documentado principalmente em campanhas contra Ministérios de Relações Exteriores, organizações diplomáticas e think tanks na Europa. Sua função primária é implantar o [[s0051-miniduke|MiniDuke]], completando assim a cadeia de infecção do APT29 para operações de espionagem de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1106-native-api|T1106 - Native API]] - [[t1102-001-dead-drop-resolver|T1102.001 - Dead Drop Resolver]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção **Fontes de dados recomendadas:** - **Proxy/Firewall:** Requisições a plataformas de mídia social (Twitter API, Reddit, Imgur) originadas de processos não-navegador - indicativo de dead drop resolver em ação - **Sysmon Event ID 13 (RegistryValue):** Armazenamento de dados codificados em valores de registro incomuns - o PolyglotDuke usa o registro como storage fileless - **Análise de imagens:** Inspeção de imagens baixadas de plataformas públicas com ferramentas de detecção de esteganografia (stegdetect, zsteg) em pontos de saída de rede **Regras de detecção:** - Sigma: Processo não-navegador realizando requisição HTTP à API do Twitter ou Reddit com User-Agent padrão de sistema operacional - YARA: Estruturas de decodificação esteganográfica e rotinas de parsing de múltiplos formatos de imagem identificadas pela ESET (família Duke) ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] conduz operações de espionagem contra Ministérios de Relações Exteriores, organizações diplomáticas e entidades governamentais em todo o mundo. O Brasil, como membro do BRICS e com extensa rede diplomática global, representa um alvo de interesse para a inteligência russa. O Ministério das Relações Exteriores (Itamaraty) e missões diplomáticas brasileiras no exterior utilizam sistemas Windows que poderiam ser vetores de comprometimento via PolyglotDuke. A técnica de dead drop via redes sociais é especialmente difícil de bloquear em ambientes onde o acesso a Twitter e Reddit é permitido. ## Referências - [MITRE ATT&CK - S0518](https://attack.mitre.org/software/S0518) - [ESET Research - Operation Ghost: The Dukes Aren't Back - They Never Left](https://www.welivesecurity.com/2019/10/17/operation-ghost-dukes-never-left/) - Outubro 2019