# Lightlet > Tipo: **loader** · S1095 · [MITRE ATT&CK](https://attack.mitre.org/software/S1095) ## Descrição [[s1095-lightlet|Lightlet]] é um loader de malware atribuído ao [[g0032-lazarus-group|Lazarus Group]], identificado pela ESET em campanhas de espionagem a partir de 2022, incluindo a Operação DreamJob - campanha que visava funcionários de empresas aeroespaciais, de defesa e de infraestrutura crítica com ofertas de emprego falsas via LinkedIn e outros canais de recrutamento profissional. O [[s1095-lightlet|Lightlet]] serve como componente de entrega que instala e executa o backdoor LightlessCan e outros implantes do [[g0032-lazarus-group|Lazarus Group]] em sistemas Windows comprometidos. Técnicamente, o [[s1095-lightlet|Lightlet]] implementa DLL side-loading ([[t1574-002-dll-side-loading|T1574.002]]) aproveitando executáveis legítimos e assinados digitalmente para carregar o loader malicioso. O payload principal é armazenado em disco em formato criptografado ([[t1027-013-encryptedencoded-file|T1027.013]]) e decodificado em memória em tempo de execução ([[t1140-deobfuscatedecode-files-or-information|T1140]]) para maximizar evasão de soluções de antivírus baseadas em assinatura de arquivo. A injeção de DLL ([[t1055-001-dynamic-link-library-injection|T1055.001]]) em processos legítimos garante execução sem processo de malware visível. Persistência é mantida via registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). A Operação DreamJob do [[g0032-lazarus-group|Lazarus Group]] - na qual o [[s1095-lightlet|Lightlet]] foi identificado - é caracterizada por abordagens cuidadosamente construídas de engenharia social: recrutadores falsos no LinkedIn apresentam ofertas de emprego atraentes e estabelecem confiança ao longo de semanas antes de enviar documentos de oferta de emprego que contêm o malware. Este nível de engenharia social sofisticada dificulta a detecção por sistemas técnicos e exige programas de conscientização de funcionários como defesa complementar. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1574-002-dll-side-loading|T1574.002 - DLL Side-Loading]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção Detecção do [[s1095-lightlet|Lightlet]] foca em padrões de DLL side-loading e decodificação de payload em memória. Indicadores: processos legítimos assinados carregando DLLs de diretórios temporários ou de usuário; decodificação de blobs criptografados em memória seguida de execução de shellcode; e comportamento de beacon HTTP de processos hospedeiros legítimos. Monitoramento de arquivo: criação de novos arquivos .dll em diretórios de usuário próximo a executáveis legítimos copiados para o mesmo diretório. Treinamento de funcionários sobre ofertas de emprego não-solicitadas via LinkedIn é uma defesa de engenharia social importante. ## Relevância LATAM/Brasil A Operação DreamJob do [[g0032-lazarus-group|Lazarus Group]] tem relevância direta para o Brasil nas indústrias aeroespacial (Embraer), de defesa, energia (Petrobras, nuclear) e tecnologia. Funcionários brasileiros em posições técnicas sênior nessas indústrias são alvos potenciais de recrutamento falso via LinkedIn pelo [[g0032-lazarus-group|Lazarus Group]]. A combinação de engenharia social sofisticada com um loader técnico como o [[s1095-lightlet|Lightlet]] torna esta ameaça particularmente difícil de defender com controles puramente técnicos - conscientização de funcionários sobre táticas de social engineering é essencial. ## Referências - [MITRE ATT&CK - S1095](https://attack.mitre.org/software/S1095)