# Ecipekac > Tipo: **malware** · S0624 · [MITRE ATT&CK](https://attack.mitre.org/software/S0624) ## Descrição [[s0624-ecipekac|Ecipekac]] (também conhecido como HEAVYHAND, SigLoader e DESLoader) é um loader de múltiplas camadas utilizado pelo [[g0045-apt10|menuPass]] (APT10) desde pelo menos 2019. Funciona como estágio inicial de carregamento para payloads de segunda fase, incluindo [[s0626-p8rat|P8RAT]], [[s0627-sodamaster|SodaMaster]] e FYAnti - ferramentas utilizadas em campanhas de espionagem prolongada contra alvos jáponeses e de múltiplos setores globalmente. O nome "Ecipekac" é derivado da string ASCII reversa do marcador interno do malware. O loader opera usando técnicas de empacotamento de software e verificação de assinaturas digitais falsas para burlar controles de segurança que confiam em assinaturas de código (T1553.002). O carregamento em múltiplas camadas é projetado para dificultar a análise, com cada camada decodificando e executando a próxima apenas em memória - minimizando artefatos em disco. O Ecipekac é distribuído tipicamente via DLL side-loading (T1574.001), aproveitando aplicações legítimas para carregar a DLL maliciosa. Essa técnica, combinada com a ofuscação e a verificação de assinatura digital falsificada, torna sua detecção por ferramentas de segurança convencionais extremamente desafiadora. O menuPass (APT10) é vinculado ao Ministério da Segurança do Estado chinês e conduz espionagem industrial de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g0045-apt10|menuPass]] ## Detecção - Monitorar DLL side-loading: alertar sobre DLLs carregadas de diretórios incomuns por aplicações legítimas assinadas (T1574.001) - Detectar uso de Rundll32 ou regsvr32 para carregar DLLs não assinadas ou de reputação desconhecida (T1105) - Implementar regras YARA para detectar padrões de empacotamento multi-camada com strings de marcadores internos do Ecipekac - Monitorar processos que realizam múltiplas decodificações em memória sem escrita em disco - indicativo de loader fileless (T1027) - Verificar assinaturas digitais em DLLs carregadas por aplicações de confiança: assinaturas inválidas ou de entidades desconhecidas são sinal de alerta (T1553.002) ## Relevância LATAM/Brasil O [[g0045-apt10|menuPass]] (APT10) é um dos grupos de espionagem chineses mais prolíficos, com histórico de ataques a provedores de serviços gerenciados (MSPs) e empresas de tecnologia globalmente. O Brasil, com um crescente setor de tecnologia e empresas que gerenciam dados de clientes internacionais, representa alvo potencial. Ataques via supply chain através de MSPs comprometidos - tática documentada do APT10 - são particularmente relevantes para o mercado brasileiro de TI. Provedores de serviços gerenciados e empresas de tecnologia no Brasil devem implementar monitoramento rigoroso de DLL loading e auditar regularmente aplicações de terceiros. ## Referências - [MITRE ATT&CK - S0624](https://attack.mitre.org/software/S0624)