s0626-p8rat - RunkIntel

# P8RAT > Tipo: **malware** · S0626 · [MITRE ATT&CK](https://attack.mitre.org/software/S0626) ## Descrição [[s0626-p8rat|P8RAT]] é um malware fileless utilizado pelo [[g0045-apt10|menuPass]] (APT10/Stone Panda) para baixar e executar payloads adicionais desde pelo menos 2020. Como malware fileless, o P8RAT opera inteiramente na memória sem escrever arquivos executáveis em disco, tornando sua detecção por antivírus tradicionais baseados em arquivo extremamente difícil. O malware implementa múltiplas verificações anti-sandbox: verifica o tempo decorrido desde o boot do sistema (para detectar sandboxes que reiniciam frequentemente) e realiza checks de ambiente para confirmar que está em um host genuíno. Adiciona dados de lixo às comúnicações de rede para dificultar a identificação do tráfego malicioso. O P8RAT funciona principalmente como um downloader de estágio único, preparando o terreno para payloads mais complexos do arsenal do [[g0045-apt10|menuPass]]. O [[g0045-apt10|menuPass]] é um grupo de espionagem chinês (APT10) que tem focado historicamente em provedores de serviços gerenciados (MSPs) e empresas de tecnologia para comprometer suas cadeias de suprimentos e acessar os clientes finais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1001-001-junk-data|T1001.001 - Junk Data]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0045-apt10|menuPass]] ## Detecção - Monitorar execução de código em memória sem correspondência em arquivo em disco (detecção fileless via EDR) - Detectar injeção de shellcode em processos legítimos por payloads sem arquivo ([[t1057-process-discovery|T1057]]) - Alertar para downloads de binários executáveis de URLs não-categorizados ([[t1105-ingress-tool-transfer|T1105]]) - Usar análise comportamental de memória em tempo real para detectar execução fileless ## Relevância LATAM/Brasil O [[g0045-apt10|menuPass]] (APT10) é conhecido por comprometer MSPs (provedores de serviços gerenciados) para acessar múltiplos clientes simultaneamente - uma técnica de supply chain attack com impacto multiplicado. No Brasil, o mercado de MSPs e outsourcing de TI é expressivo, e provedores que gerenciam infraestrutura de clientes corporativos e governamentais são alvos potenciais para grupos como o menuPass que buscam acesso escalável a múltiplas organizações. ## Referências - [MITRE ATT&CK - S0626](https://attack.mitre.org/software/S0626)