# Crimson RAT > Tipo: **rat** · S0115 · [MITRE ATT&CK](https://attack.mitre.org/software/S0115) ## Descrição [[crimsonrat|Crimson RAT]] é um remote access trojan escrito em .NET/MSIL utilizado exclusivamente pelo grupo [[g0134-transparent-tribe|Transparent Tribe]] (também conhecido como APT36, ProjectM e Mythic Leopard), grupo de espionagem cibernética associado ao Paquistão. Ativo desde pelo menos 2013, o [[crimsonrat|Crimson RAT]] é a ferramenta signature do [[g0134-transparent-tribe|Transparent Tribe]] em campanhas contra organizações governamentais e militares indianas, além de diplomatias e ONGs relacionadas a Caxemira e questões indo-paquistanesas. O [[crimsonrat|Crimson RAT]] implementa um conjunto abrangente de capacidades de vigilância: keylogging para captura de credenciais e comúnicações, captura de tela para monitoramento de atividades, execução de comandos arbitrários, upload e download de arquivos e acesso a unidades removíveis. A comunicação com o servidor C2 ocorre via TCP com protocolo proprietário sobre HTTP. O malware é distribuído principalmente via documentos Word ou Excel maliciosos com macros, frequentemente disfarçados de formulários governamentais ou materiais militares indianos. A exclusividade do uso do [[crimsonrat|Crimson RAT]] pelo [[g0134-transparent-tribe|Transparent Tribe]] facilita a atribuição de campanhas que utilizem este malware. Ao longo de mais de uma década de operações, o grupo demonstrou capacidade de manutenção e evolução contínua do RAT, com novas versões periódicas que adicionam funcionalidades ou aprimoram mecanismos de evasão. O [[crimsonrat|Crimson RAT]] frequentemente opera em conjunto com o [[s0644-obliquerat|ObliqueRAT]] e outras ferramentas do arsenal do Transparent Tribe. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] ## Grupos que Usam - [[g0134-transparent-tribe|Transparent Tribe]] ## Detecção - Detectar processos .NET/MSIL estabelecendo conexões TCP persistentes para servidores externos ([[t1071-001-web-protocols|T1071.001]]) - Monitorar acesso ao teclado via APIs de hook (SetWindowsHookEx) por processos não relacionados a utilitários de acessibilidade ([[t1056-001-keylogging|T1056.001]]) - Alertar sobre capturas de tela programáticas frequentes por processos em segundo plano ([[t1113-screen-capture|T1113]]) - Identificar documentos Office com macros baixando executáveis .NET de servidores externos ([[t1566-001-spearphishing-attachment|T1566.001]]) - Monitorar chaves de registro Run com executáveis .NET em caminhos de AppData ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) ## Relevância LATAM/Brasil O [[g0134-transparent-tribe|Transparent Tribe]] tem foco primário em alvos indianos e do subcontinente sul-asiático. Para o Brasil, a relevância é indireta mas presente: organizações brasileiras com parcerias estratégicas com a Índia (relações IBAS/BRICS), missões diplomáticas brasileiras em Nova Délhi e Islamabad, e empresas de defesa com contratos bilaterais Brasil-Índia podem ser alvos colaterais ou de inteligência em campanhas regionais. O conhecimento das TTPs do Crimson RAT é valioso para analistas brasileiros que monitoram ameaças globais afetando parceiros estratégicos. ## Referências - [MITRE ATT&CK - S0115](https://attack.mitre.org/software/S0115) - [MITRE ATT&CK - Transparent Tribe](https://attack.mitre.org/groups/G0134)