# PUBLOAD > Tipo: **malware** · S1228 · [MITRE ATT&CK](https://attack.mitre.org/software/S1228) ## Descrição [[s1228-pubload|PUBLOAD]] é um malware stager observado se instalando em diretórios existentes como `C:\Users\Public` ou criando novos diretórios para preparar o malware e seus componentes. O [[s1228-pubload|PUBLOAD]] coleta informações do host alvo, estabelece persistence, criptografa os dados da vítima com RC4 e os transmite ao C2. Foi utilizado por atores vinculados à China identificados como [[g0129-mustang-panda|Mustang Panda]]. Também é conhecido como “NoFive” e relatórios públicos identificam seu componente loader como [[s1236-claimloader|CLAIMLOADER]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1001-003-protocol-or-service-impersonation|T1001.003 - Protocol or Service Impersonation]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1622-debugger-evasion|T1622 - Debugger Evasion]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1016-002-wi-fi-discovery|T1016.002 - Wi-Fi Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1574-001-dll|T1574.001 - DLL]] ## Grupos que Usam - [[g0129-mustang-panda|Mustang Panda]] ## Referências - [MITRE ATT&CK - S1228](https://attack.mitre.org/software/S1228)