# Mirage RAT > [!high] RAT de Longa Data do APT15 - Espionagem de Estado Chinês > Mirage RAT é um backdoor modular em uso pelo grupo APT15 (Ke3chang/Vixen Panda) desde 2012. Precursor do BS2005, evoluiu para MirageFox em 2018. Notório pelo uso de DLL side-loading via binário McAfee e configuração C2 cifrada XOR. ## Visão Geral Mirage RAT é um backdoor modular atribuído ao grupo [[g0004-apt15]], também conhecido como [[g0004-apt15]], Vixen Panda e NICKEL - um ator estatal chinês com histórico de espionagem de alto nível desde pelo menos 2010. O malware é considerado uma das ferramentas mais antigas e persistentes do arsenal do APT15, com variantes identificadas de 2012 até o presente. A linhagem do Mirage inclui múltiplas gerações: o predecessor BS2005, o Mirage propriamente dito (2012-2017) e a variante MirageFox identificada pela Intezer em 2018. Cada iteração trouxe melhorias em técnicas de evasão e capacidades de C2, mas manteve a arquitetura central de DLL side-loading com um binário legítimo como host. A técnica central do Mirage é o DLL hijacking usando um binário do McAfee (mcoemcpy.exe) que carrega uma DLL maliciosa denominada McUtil.dll. O binário legítimo executa o código malicioso sem levantar suspeitas, pois o processo pai é uma aplicação de segurança conhecida. A configuração do C2 é armazenada cifrada com XOR no próprio binário. O APT15 tem histórico de atacar ministérios de relações exteriores, defesa, empresas de petróleo e gás e organizações governamentais em múltiplos continentes, com ênfase em alvos no Reino Unido, Europa, EUA e Sudeste Asiático. A extensão das operações do grupo inclui comprometimentos de longa duração - frequentemente mantendo acesso por anos antes de serem detectados. ## Attack Flow ```mermaid graph TB A["📧 Spear-Phishing<br/>Email com documento ou link"] --> B["💥 Dropper Inicial<br/>Instala binários na vitima"] B --> C["📂 DLL Side-Loading<br/>mcoemcpy.exe carrega McUtil.dll"] C --> D["🔓 Decifragem de Config<br/>XOR decryption de config C2"] D --> E["📡 Beacon C2<br/>HTTP/HTTPS para C2 do operador"] E --> F["🔍 Reconhecimento do Sistema<br/>info OS, usuário, processos, rede"] F --> G["⬇️ Download Módulos<br/>Keylogger e ferramentas adicionais"] G --> H["📤 Exfiltração<br/>Documentos e dados de interesse"] ``` *Atores relacionados: [[g0004-apt15]] · [[g0004-apt15]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566 | Phishing | Acesso Inicial | Spear-phishing com documentos maliciosos | | T1574.002 | DLL Side-Loading | Evasão | mcoemcpy.exe carregando McUtil.dll maliciosa | | T1027 | Obfuscated Files | Evasão | Configuração C2 cifrada com XOR no binário | | T1082 | System Info Discovery | Reconhecimento | Coleta de informações do SO e hardware | | T1071 | Application Layer | C2 | HTTP/HTTPS para comunicação C2 | | T1056.001 | Keylogging | Coleta | Módulo de keylogger baixado após acesso inicial | | T1105 | Ingress Tool Transfer | C2 | Download de módulos e ferramentas adicionais | | T1057 | Process Discovery | Reconhecimento | Enumeração de processos em execução | ## Evolução da Família Mirage ```mermaid graph TB subgraph Linha do Tempo BS["BS2005<br/>2010-2012<br/>Precursor original"] MR["Mirage RAT<br/>2012-2017<br/>DLL Sideloading McAfee"] MF["MirageFox<br/>2018+<br/>Versao atualizada Intezer"] end subgraph Técnicas Compartilhadas DLLS["DLL Side-Loading<br/>Binario legitimo como host"] XORC["XOR Config Encryption<br/>C2 cifrado no binario"] HTTP["HTTP/HTTPS C2<br/>Beaconing periodico"] end BS --> MR MR --> MF MR --> DLLS MR --> XORC MR --> HTTP ``` *Técnicas: [[t1574-002-dll-side-loading|T1574.002]] · [[t1027-obfuscated-files-or-information|T1027]] · [[t1071-application-layer-protocol|T1071]]* ## Detecção e Defesa **Indicadores comportamentais:** - mcoemcpy.exe executado fora de diretório de instalação McAfee - McUtil.dll carregada por processo incomum - Beaconing HTTP periódico para domínios com aparência legítima mas recentemente registrados - Processo de segurança estabelecendo conexão de rede inesperada - Criação de arquivos em diretório temporário por processo McAfee **Mitigações recomendadas:** - Monitorar carregamento de DLLs por processos de software de segurança - Implementar [[m1038-execution-prevention|application control]] para binários em diretórios temporários - Inspeção de tráfego HTTP/HTTPS para identificar beaconing periódico - Threat hunting para processos com nomes de software legítimo em caminhos atípicos - [[m1049-antivirus-antimalware|EDR]] com análise de DLL loading e detecção de side-loading ## Referências - [1](https://attack.mitre.org/software/S0280/) MITRE ATT&CK - Mirage Software S0280 (2023) - [2](https://attack.mitre.org/groups/G0004/) MITRE ATT&CK - Ke3chang Group G0004 (2023) - [3](https://www.intezer.com/blog/malware-analysis/miragefox-apt15-resurfaces-with-new-tools/) Intezer - MirageFox: APT15 Resurfaces With New Tools (2018) - [4](https://www.ncsc.gov.uk/files/NCSC-Microsoft-joint-advisory-NICKEL-targets-government-organisations.pdf) NCSC UK - NICKEL Targets Government Organisations (2021) - [5](https://unit42.paloaltonetworks.com/bbsrat-attacks-targeting-russian-organizations-linked-to-roaming-tiger/) Palo Alto Unit 42 - Ke3chang/APT15 Analysis (2015)