# VaporRage > Tipo: **malware** · S0636 · [MITRE ATT&CK](https://attack.mitre.org/software/S0636) ## Descrição [[s0636-vaporrage|VaporRage]] é um downloader de shellcode utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear/SVR russo) desde pelo menos 2021, identificado em campanhas de espionagem contra organizações governamentais e diplomáticas ocidentais. O malware atua como um segundo estágio leve, focado em baixar e executar shellcode adicional no sistema comprometido, permitindo ao operador implantar ferramentas mais sofisticadas de forma modular. O VaporRage utiliza execution guardrails - restrições que limitam a execução a ambientes específicos - para garantir que o shellcode baixado execute apenas no alvo pretendido, evitando análise em sandboxes e dificultando a investigação por pesquisadores de segurança. O malware comúnica-se via protocolos web padrão (HTTP/HTTPS), decodifica o shellcode recebido antes de executá-lo e pode baixar ferramentas adicionais para ampliar as capacidades do atacante no sistema comprometido. Como componente do arsenal do [[g0016-apt29|APT29]], o VaporRage foi documentado em operações que visaram organizações relacionadas à cúpula da OTAN em 2021, demonstrando seu uso em campanhas de coleta de inteligência estratégica de alto nível. Sua leveza e foco em delivery de shellcode tornam-no um ponto de entrada eficaz para o deployment de implants mais complexos como o [[s0154-cobalt-strike|Cobalt Strike]] ou ferramentas exclusivas do APT29. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção A detecção do VaporRage é desafiadora dada sua natureza minimalista e uso de protocolo web padrão. Abordagens eficazes incluem: análise de tráfego de rede para downloads de shellcode (identificáveis por padrões de bytes específicos), monitoramento de processos que realizam alocação de memória executável e execução de código carregado dinâmicamente, e correlação de indicadores de comprometimento (IoCs) públicados pela Microsoft e CISA relacionados ao APT29. Soluções de sandboxing com análise comportamental são essenciais para identificar o padrão de execution guardrails. ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] (SVR russo) realiza operações globais de espionagem com foco em governos, organizações diplomáticas e setor de saúde. Embaixadas e representações diplomáticas brasileiras no exterior, bem como organizações governamentais com alto nível de interação internacional, são potencialmente alvos de campanhas do APT29. O VaporRage, como ferramenta de segundo estágio, seria implantado após comprometimento inicial, tornando a detecção de estágios iniciais (phishing, exploits) a prioridade defensiva mais eficaz. ## Referências - [MITRE ATT&CK - S0636](https://attack.mitre.org/software/S0636)