# Flagpro > Tipo: **downloader** · S0696 · [MITRE ATT&CK](https://attack.mitre.org/software/S0696) ## Descrição [[s0696-flagpro|Flagpro]] é um downloader de primeiro estágio baseado em Windows, desenvolvido e utilizado pelo grupo de espionagem [[g0098-blacktech|BlackTech]] desde pelo menos outubro de 2020. Foi utilizado principalmente contra empresas de defesa, mídia e comúnicações no Jápão, servindo como vetor inicial para implantação de ferramentas de acesso remoto mais sofisticadas. O malware é distribuído através de e-mails de spear-phishing com anexos maliciosos que exploram a confiança do destinatário por meio de engenharia social. O [[s0696-flagpro|Flagpro]] realiza verificações de idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) para confirmar que está em um alvo jáponês antes de executar suas rotinas principais, reduzindo o risco de análise acidental por pesquisadores fora do alvo. Após confirmar o ambiente, o malware estabelece persistência via [[t1547-001-registry-run-keys-startup-folder|chaves de registro Run]], coleta informações básicas do sistema e realiza comunicação C2 usando protocolos web padrão com dados codificados em Base64. O nome "Flagpro" deriva do formato das mensagens de check-in para o servidor C2. A cadeia de ataque típica do [[g0098-blacktech|BlackTech]] usa o Flagpro para reconhecimento inicial e download de payloads adicionais, incluindo ferramentas de acesso remoto mais completas como o PLEAD. O grupo tem histórico documentado de espionagem contra organizações governamentais, de defesa e de tecnologia na Ásia-Pacífico, com infraestrutura C2 frequentemente hospedada em dispositivos de rede comprometidos de pequenas empresas jáponesas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1029-scheduled-transfer|T1029 - Scheduled Transfer]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1069-001-local-groups|T1069.001 - Local Groups]] ## Grupos que Usam - [[g0098-blacktech|BlackTech]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar criação de chaves de registro Run por processos não-administrativos > - Detectar comúnicações HTTP/HTTPS com padrões de dados Base64 em intervalos regulares (scheduled transfer) > - Alertar sobre execuções de scripts VBScript provenientes de anexos de e-mail > - Verificar processos filhos de aplicações Office que realizam consultas de idioma do sistema > - Monitorar resolução de domínios C2 associados ao BlackTech (rotação frequente de infraestrutura) ## Relevância LATAM/Brasil O [[g0098-blacktech|BlackTech]] tem foco histórico no leste asiático, mas o Flagpro representa uma classe de ameaças de espionagem patrocinadas por estado que podem se expandir geograficamente conforme os interesses estratégicos do grupo evoluem. Organizações brasileiras com parcerias ou subsidiárias no Jápão e Taiwan devem considerar o BlackTech como ameaça relevante. O modelo de downloader de primeiro estágio do Flagpro é amplamente adotado por outros grupos APT, e as TTPs documentadas são úteis para construir detecções agnósticas de grupo para dowloaders de espionagem que verificam idioma do sistema antes da execução. ## Referências - [MITRE ATT&CK - S0696](https://attack.mitre.org/software/S0696)