# Quasar RAT > [!medium] RAT Open-Source Amplamente Abusado por APTs e Cibercriminosos > Quasar RAT é um trojan de acesso remoto open-source desenvolvido em C#/.NET, disponível públicamente no GitHub desde 2014 sob o nome original xRAT. Sua natureza gratuita e conjunto robusto de funcionalidades o tornaram ferramenta preferida tanto de grupos APT como APT10 e APT36 quanto de cibercriminosos oportunistas. ## Visão Geral Quasar RAT, originalmente lançado como xRAT em 2014 e renomeado em 2015, é um Remote Access Trojan completamente open-source escrito em C#/.NET e disponibilizado no GitHub. Seu código-fonte público democratizou o acesso a capacidades de espionagem avançadas, tornando-o uma ferramenta onipresente no arsenal de atores de ameaça de todos os níveis de sofisticação. O malware oferece um conjunto completo de funcionalidades de acesso remoto: desktop remoto, gerenciador de arquivos, shell remoto, captura de teclado, roubo de senhas de navegadores e clientes FTP, acesso à webcam e proxy reverso. A comunicação C2 é cifrada via TLS 1.2 com certificados X.509, dificultando a detecção em tráfego de rede. A configuração do C2, chave de criptografia e versão do build ficam embutidos no binário como dados AES-cifrados em Base64. Grupos APT de alto perfil documentaram o uso do Quasar RAT em campanhas de espionagem. O [[g0045-apt10]] (Stone Panda), notório grupo chinês, empregou o Quasar em campanhas contra organizações de defesa e saúde no Reino Unido, fato destacado pelo NCSC britânico em 2018. O [[g0078-gorgon-group]] e o [[g0134-transparent-tribe]] também usaram variantes do Quasar em campanhas contra alvos governamentais e militares no sul da Ásia. A natureza open-source facilita customizações - as variantes CinaRAT e Yggdrasil são derivados com modificações para evasão de detecção. No contexto LATAM, o Quasar RAT aparece em campanhas oportunistas contra empresas de [[technology|tecnologia]] e [[financial|serviços financeiros]], frequentemente entregue via phishing com arquivos ISO contendo binários legítimos trojanizados via DLL side-loading. ## Como Funciona **Arquitetura técnica:** - Desenvolvido em C# com .NET Framework - compila para executável Windows padrão - Comúnicação C2 via TCP com protocolo proprietário criptografado por TLS 1.2 - Configuração do malware embutida em Base64 + AES no próprio binário - Suporte a proxy reverso SOCKS5 para pivotamento de rede **Capacidades principais:** - Remote Desktop Protocol (RDP) para acesso visual ao desktop da vítima - Keylogger com contexto de janela ativa (captura aplicação e texto simultâneos) - Roubo de senhas de navegadores (Chrome, Firefox, Edge, Opera, Yandex) e clientes FTP (FileZilla, WinSCP) - Acesso à webcam sem notificação do usuário - Shell remoto para execução arbitrária de comandos - Gerenciador de arquivos completo (navegar, upload, download, executar) - Proxy reverso via SOCKS5 para pivotamento lateral na rede **Mecanismos de evasão:** - DLL side-loading via binários legítimos (ctfmon.exe, calc.exe, Cisco Webex) - Process hollowing para injetar payload em processo legítimo (Regasm.exe) - Remoção do Zone.Identifier (marca de origem da internet) para bypassar SmartScreen - Configuração cifrada em memória para evitar análise estática - Variantes empacotadas com VMProtect ou obfuscadores .NET ## Attack Flow ```mermaid graph TB A["📧 Phishing / Malspam<br/>ISO com binário legítimo trojanizado"] --> B["🖱️ Execução pelo Usuário<br/>Setup.exe ativa DLL maliciosa"] B --> C["📂 DLL Side-Loading<br/>calc.exe ou ctfmon.exe carrega RAT"] C --> D["💉 Process Hollowing<br/>Payload injetado em Regasm.exe"] D --> E["📋 Persistência<br/>Scheduled Task ou Registry Run Key"] E --> F["🌐 C2 via TLS 1.2<br/>TCP/4782 com certificado X.509"] F --> G["🔑 Coleta de Credenciais<br/>Navegadores, FTP e keylogger"] G --> H["📡 Exfiltração<br/>Upload ao servidor C2 do atacante"] ``` *Grupos que utilizam: [[g0045-apt10]] · [[g0078-gorgon-group]] · [[g0134-transparent-tribe]]* ## Timeline ```mermaid timeline title Quasar RAT - Linha do Tempo 2014 : Lançamento como xRAT : Disponível no GitHub open-source 2015 : Renomeado para Quasar RAT : Rebranding e expansão de uso 2018 : APT10 documentado pelo NCSC-UK : Campanhas contra defesa e saúde no RU 2019-2022 : Adoção por múltiplos APTs : Gorgon Group e APT36 documentados 2023 : DLL side-loading via Cisco Webex : Campanha entregando Vidar Stealer 2024 : Steganografia em pixels de PNG : Payload oculto em imagens para evasão ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Shell remoto para execução de comandos | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas com contexto de janela | | Credentials from Web Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de senhas de Chrome, Firefox, Edge | | DLL Side-Loading | [[t1574-002-dll-side-loading\|T1574.002]] | Via ctfmon.exe, calc.exe, Cisco Webex | | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Persistência via tarefa agendada | | Proxy | [[t1090-proxy\|T1090]] | Proxy reverso SOCKS5 para pivotamento | | Video Capture | [[t1125-video-capture\|T1125]] | Acesso à webcam sem notificação | | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Controle visual do desktop remoto | ## Relevância para o Brasil e LATAM > [!latam] Phishing com ISO Malicioso contra Empresas LATAM > Campanhas de phishing com **ISO malicioso** entregando Quasar RAT foram registradas contra empresas de **tecnologia** e **financeiro** na América Latina. A porta **TCP/4782** (padrão do Quasar) é um indicador de rede relevante para equipes SOC no Brasil. Derivados como **CinaRAT** e **Yggdrasil** foram detectados em campanhas de espionagem industrial na região. O Quasar RAT é utilizado em campanhas contra organizações LATAM por sua acessibilidade e robustez: - Campanhas de phishing com ISO malicioso entregando Quasar foram registradas contra empresas de [[technology|tecnologia]] e [[financial|financeiro]] na América Latina - O [[g0078-gorgon-group]], documentado atacando alvos governamentais e empresariais, usa TTPs similares às observadas em campanhas LATAM oportunistas - Derivados como CinaRAT e Yggdrasil foram detectados em campanhas de espionagem industrial na região - A porta TCP 4782 (padrão do Quasar) é um indicador de rede relevante para equipes SOC no Brasil ## Detecção e Defesa **Indicadores comportamentais:** - Conexões TCP saindo para portas altas (especialmente 4782) com tráfego TLS persistente - Processo legítimo (ctfmon.exe, Regasm.exe, calc.exe) carregando DLL de localização atípica - Tarefa agendada criada com caminho em `%AppData%` ou diretório suspeito - Acesso em massa a arquivos de perfil de navegadores (`Login Data`, `Cookies`) **Mitigações recomendadas:** - Bloquear montagem e execução de ISO/IMG diretamente do diretório de downloads via Group Policy - Implementar AppLocker para restringir DLL loading por processos legítimos sensíveis - Monitorar criação de Scheduled Tasks via Sysmon EventID 1 e 11 - [[m1049-antivirus-antimalware|EDR]] com detecção de DLL side-loading e process hollowing - Monitorar acesso a arquivos de perfil de navegadores por processos não reconhecidos > [!ioc]- IOCs - Quasar RAT (TLP:GREEN) > **Porta C2 padrão:** > `TCP/4782` - porta característica do Quasar RAT para C2 > > **User-Agent C2 observado:** > `Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A` > > **Padrões de arquivo:** > Binários legítimos (`ctfmon.exe`, `calc.exe`) em diretórios `%AppData%` > DLL `MsCtfMonitor.dll` ou `Secure32.dll` em localização atípica > > **Fontes:** [MITRE ATT&CK S0262](https://attack.mitre.org/software/S0262/) · [Splunk Research](https://research.splunk.com/stories/quasar_rat/) · [hunt.io](https://hunt.io/malware-families/quasar) ## Referências - [1](https://attack.mitre.org/software/S0262/) MITRE ATT&CK - QuasarRAT S0262 (2024) - [2](https://blog.qualys.com/vulnerabilities-threat-research/2022/07/29/new-qualys-research-report-evolution-of-quasar-rat) Qualys - Evolution of Quasar RAT (2022) - [3](https://www.cyberstash.com/wp-content/uploads/2024/09/Quasar-RAT-Stealthy-DLL-Side-Loading.pdf) CyberStash - Quasar RAT DLL Side-Loading Analysis (2024) - [4](https://www.splunk.com/en_us/blog/security/image-steganography-quasar-rat-detection.html) Splunk - Steganografia em Quasar RAT (2025) - [5](https://www.immersivelabs.com/resources/blog/apt10-quasar-rat-analysis) Immersive Labs - APT10 Quasar RAT Analysis (2019) - [6](https://research.splunk.com/stories/quasar_rat/) Splunk Security Content - Quasar RAT Analytics Story (2025) - [7](https://hunt.io/malware-families/quasar) Hunt.io - Quasar RAT Malware Profile (2026)