pyvil-rat - RunkIntel

# PyVil RAT > [!medium] RAT Python do Grupo EvilNum - Espionagem em FinTechs > PyVil RAT é um trojan de acesso remoto baseado em Python desenvolvido e usado exclusivamente pelo grupo APT EvilNum (G0120) para espionagem contra empresas de tecnologia financeira no Reino Unido, UE, Austrália e Canadá. Compilado com py2exe, usa criptografia RC4 para comunicação C2 e suporta download modular de ferramentas adicionais como LaZagne. ## Visão Geral PyVil RAT é um trojan de acesso remoto baseado em Python, desenvolvido e usado exclusivamente pelo grupo APT [[g0120-evilnum|EvilNum]] (MITRE G0120) para campanhas de espionagem contra empresas de tecnologia financeira (FinTech) no Reino Unido, União Europeia, Austrália e Canadá desde 2020. Sua peculiaridade técnica é o uso de Python compilado com py2exe — incomum para malware sofisticado —, com múltiplas camadas de ofuscação e comunicação via RC4 encapsulada em HTTP POST. O EvilNum distribui o PyVil RAT por spear-phishing com arquivos ZIP contendo atalhos LNK disfarçados de documentos KYC (Know Your Customer), tornando os lures altamente convincentes para funcionários de FinTechs. O PyVil RAT suporta keylogging, captura de tela, execução de comandos via SSH, roubo de credenciais de browser e download modular de ferramentas adicionais como LaZagne, permitindo escalada de capacidades sob demanda. O modelo de espionagem do EvilNum contra o setor financeiro tem relevância crescente para o Brasil, que abriga um dos maiores ecossistemas FinTech do mundo com empresas como Nubank, Stone e Creditas em expansão internacional. > [!latam] Relevância para Brasil e LATAM > O EvilNum opera primariamente na Europa e Austrália, mas o ecossistema **FinTech** brasileiro em expansão aumenta o risco de extensão das operações para LATAM. Empresas brasileiras de tecnologia financeira com presença internacional ou parcerias com contrapartes europeias são alvos potenciais para spear-phishing com lures KYC em português. A capacidade modular do PyVil RAT de roubar credenciais de plataformas bancárias e de trading o torna especialmente perigoso para o setor. ## Descrição O PyVil RAT é um componente de malware desenvolvido e usado exclusivamente pelo grupo de ameaça avançada **[[g0120-evilnum|EvilNum]]** (rastreado pela MITRE ATT&CK como G0120). O EvilNum é conhecido desde 2018 por campanhas de espionagem cibernética contra empresas do setor de **tecnologia financeira (FinTech)** localizadas principalmente no Reino Unido, União Europeia, Austrália e Canadá. O PyVil RAT foi identificado em operações a partir de **2020** como evolução do arsenal do grupo, que previamente usava um trojan JavaScript customizado. O diferencial técnico do PyVil RAT é sua base em **Python** - uma escolha incomum para malware de espionagem sofisticado, que geralmente favorece C/C++ ou .NET. O código Python é compilado para executável Windows usando **py2exe**, com múltiplas camadas de ofuscação que dificultam análise estática. O processo de desobfuscação acontece inteiramente em memória, tornando o dump de memória necessário para análise completa. As configurações de C2 (domínios, chaves) são carregadas de um módulo de configuração separado e a comunicação usa **criptografia RC4 com chave Base64 hardcoded**, encapsulada em requisições HTTP POST. As capacidades do PyVil RAT são orientadas para espionagem de alto valor: keylogging, capturas de tela, execução de comandos via shell SSH, roubo de credenciais de browser e cookies, e download modular de ferramentas adicionais como **LaZagne** (credential dumper open-source). Este modelo modular permite ao EvilNum expandir as capacidades do implante sem precisar redesenhar o RAT principal - baixando módulos sob demanda conforme os objetivos da operação evoluem. O vetor de distribuição característico do EvilNum são **spear-phishing com arquivos ZIP** contendo arquivos LNK disfarçados de documentos legítimos - extratos bancários, documentos de identidade, comprovantes de residência e materiais de KYC (Know Your Customer). Esta abordagem é especialmente engenhosa porque os lures correspondem a documentos reais que funcionários de FinTechs rotineiramente recebem de clientes, tornando os emails de phishing altamente convincentes para esse público. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spear-phishing com ZIP contendo arquivos LNK | | Execution | [[t1204-001-malicious-link\|T1204.001]] | Execução de arquivo LNK pelo usuário | | Execution | [[t1059-006-python\|T1059.006]] | Código Python compilado com py2exe | | Defense Evasion | [[t1027-obfuscated-files\|T1027]] | Múltiplas camadas de ofuscação Python | | Collection | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas digitadas | | Collection | [[t1113-screen-capture\|T1113]] | Capturas de tela do desktop | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais e cookies de browser | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação via HTTP POST | | C2 | [[t1573-002-asymmetric-cryptography\|T1573.002]] | RC4 com chave hardcoded Base64 | | Exfiltration | [[t1041-exfiltration-over-c2\|T1041]] | Exfiltração via canal C2 HTTP | ## Grupos que Usam - [[g0120-evilnum|EvilNum]] (G0120) - único operador documentado, grupo de espionagem focado em FinTechs ## Detecção - Monitorar execução de arquivos `.lnk` que lançam scripts Python ou executáveis py2exe - arquivos LNK legítimos raramente executam interpretadores Python em contexto corporativo - Detectar requisições HTTP POST regulares para domínios recém-registrados ou com baixa reputação por processos Python ou executáveis com dependências Python (DLLs python3x.dll) - padrão C2 do PyVil RAT - Alertar para execução de **LaZagne** (`lazagne.exe`) ou processos com assinatura de memória do LaZagne - o EvilNum frequentemente o baixa como módulo pós-comprometimento - Implementar inspeção de **arquivos ZIP em email** com varredura de arquivos LNK internos - arquivos LNK em ZIPs são vetores comuns de malware e raramente legítimos em contexto corporativo - Monitorar abertura de shells SSH (conexões de saída na porta 22) por processos não relacionados a operações legítimas de TI - o PyVil RAT usa SSH como canal de acesso interativo ao sistema comprometido ## Relevância LATAM/Brasil O PyVil RAT e o grupo EvilNum operam primariamente na Europa, Austrália e Canadá, com foco em FinTechs de língua inglesa. No entanto, o crescimento do ecossistema [[financial|FinTech]] brasileiro - um dos maiores do mundo, com empresas como Nubank, Creditas e Stone em expansão internacional - aumenta o risco de que operações do EvilNum se expandam para o LATAM. Empresas brasileiras de [[financial|tecnologia financeira]] com presença internacional ou parcerias com contrapartes europeias são potenciais alvos de spear-phishing com lures KYC em português. A natureza modular do PyVil RAT e sua capacidade de roubar credenciais de plataformas bancárias e de trading o tornam especialmente perigoso para o setor financeiro. ## Referências - [1](https://attack.mitre.org/groups/G0120/) MITRE ATT&CK - G0120 EvilNum (2024) - [2](https://www.cybereason.com/blog/research/no-rest-for-the-wicked-evilnum-unleashes-pyvil-rat) Cybereason - EvilNum Unleashes PyVil RAT (2020) - [3](https://securityaffairs.com/107890/apt/evilnum-apt-pyvil-rat.html) Security Affairs - EvilNum APT PyVil RAT (2021) - [4](https://socprime.com/blog/pyvil-rat-by-evilnum-group/) SOC Prime - PyVil RAT by EvilNum (2021) - [5](https://www.darkreading.com/threat-intelligence/evilnum-apt-group-employs-new-python-rat) Dark Reading - EvilNum APT Python RAT (2020)