darkcomet - RunkIntel

# DarkComet RAT > [!warning] Malware Legado com Impacto Atual > DarkComet foi descontinuado pelo desenvolvedor em 2012 após ser identificado em operações de espionagem patrocinadas por estados, incluindo campanhas na Syria. Apesar da descontinuacao, o código-fonte vazou e o malware continua reaproveitado em campanhas de 2024-2025, frequentemente disfarado como ferramentas de criptomoedas e software pirata. A persistência do DarkComet ilustra o principio de que "malware legado nunca morre verdadeiramente" quando ha vazamento de código-fonte. ## Visão Geral [[darkcomet|DarkComet RAT]] e uma ferramenta de acesso remoto desenvolvida pelo programador frances Jean-Pierre Lesueur a partir de 2008. Originalmente criado como ferramenta de administracao remota legitima com interface grafica intuitiva, o DarkComet ganhou popularidade nos circulos underground por sua facilidade de uso e conjunto extenso de capacidades espiaoagem. Lesueur descontinuou o projeto em 2012 ao descobrir que estava sendo usado em operações de vigilancia contra civis sirios, mas o código-fonte já havia vazado amplamente. O [[mitre-software-s0334|MITRE ATT&CK S0334]] documenta o DarkComet como malware de categoria "rat", com o grupo [[g0070-dark-caracal|Dark Caracal]] entre os principais usuarios documentados. A facilidade de customizacao via plugins e a interface grafica semelhante a um painel de controle profissional tornaram o DarkComet especialmente atraente para atores com capacidades técnicas limitadas. Em 2024-2025, pesquisadores da PointWild identificaram amostras do DarkComet disfaradas de ferramentas Bitcoin, usando compressao UPX para evadir detecção estática. A URL de C2 tipica (`kvejo991.ddns.net:1604`) confirma o padrao de uso de Dynamic DNS caracteristico desta familia. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) | | **Linguagem** | Delphi (Pascal) | | **Primeira versao** | 2008 | | **Descontinuado** | 2012 (por Lesueur) | | **Status atual** | Legado mas reutilizado - amostras ativas em 2024-2025 | | **MITRE ID** | S0334 | | **Plataformas** | Windows | | **Porta C2 padrao** | TCP 1604 | ## Como Funciona **Arquitetura Delphi:** O DarkComet foi escrito em Delphi/Pascal, o que o diferencia de RATs modernos baseados em .NET. O binario e empacotado com UPX (Ultimaté Packer for Executables) para reduzir tamanho e dificultar análise estática. Em variantes modernas, o header UPX e modificado ou camadas adicionais de cifragem sao aplicadas após a compressao. **Configuração interna (DARKCOMET DATA):** A estrutura de dados interna e identificavel por uma seção marcada `#BEGIN DARKCOMET DATA`. Esta seção contem o MUTEX, SID do grupo de campanha, porta de C2, e flags de comportamento. A extração deste bloco permite identificar infraestrutura de campanha específica. **Estagio de entrega:** Distribuição tipica via phishing com anexos RAR contendo um executavel disfarado de software legitimo (ferramenta Bitcoin, software corporativo, atualização de sistema). A embalagem RAR reduz taxas de detecção em gateways de e-mail. **Evasão de análise:** Verificação de atributos de arquivo via linha de comando para ocultar componentes maliciosos. Modificacao de privilegios via `LookupPrivilegeValueA` e `AdjustTokenPrivileges` para escalar contexto de segurança do processo. Coleta de localização geografica via registro (`HKCU\Control Panel\International\Geo\Nation`). **C2 via TCP/Dynamic DNS:** Comúnicação C2 na porta 1604 por padrao, com suporte a Dynamic DNS (`ddns.net`, `no-ip.com`) para infraestrutura de baixo custo. O protocolo e protegido por senha, dificultando scanning passivo de C2. **Keylogging via pasta `dclogs`:** Keystrokes capturados sao armazenados localmente em `dclogs/` antes da exfiltração para o C2. Este artefato e um indicador forense de alta fidelidade para detecção. ## Attack Flow ```mermaid graph TB A["📦 Entrega via Phishing Arquivo RAR com payload Lures: Bitcoin, software pirata"] --> B["🔓 Execução Payload UPX-packed Shell DarkComet T1059.003"] B --> C["🔑 Escalada de Privilegios AdjustTokenPrivileges Modificacao de contexto de segurança"] C --> D["📂 Persistência Registry Run Key T1547.001 Inicializacao automatica"] D --> E["📡 C2 TCP/Dynamic DNS Porta 1604 Protocolo protegido por senha"] E --> F["🕵 Coleta de Dados Keylog T1056.001 Screenshot T1113 Video T1125"] F --> G["📤 Exfiltração dclogs/ para servidor C2 Credenciais e info do sistema"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef exec fill:#f39c12,stroke:#d68910,color:#fff classDef persist fill:#3498db,stroke:#1a5276,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef collect fill:#27ae60,stroke:#1e8449,color:#fff classDef exfil fill:#c0392b,stroke:#922b21,color:#fff class A delivery class B,C exec class D persist class E c2 class F collect class G exfil ``` ## Timeline de Evolução ```mermaid timeline title DarkComet RAT - Historia e Impacto 2008 : Desenvolvimento inicial por Jean-Pierre Lesueur : Interface GUI para administracao remota 2011 : Adocao em larga escala por cibercriminosos : Uso em campanhas de vigilancia na Syria 2012 : Lesueur descontinua oficialmente o projeto : Código-fonte já amplamente vazado 2013 : Documentacao pelo Dark Caracal como payload : Reaproveitamento por grupos de espionagem 2016 : Estudo academico UCSD mapeia ecosistema DarkComet : 146k configuracoes únicas de controladores coletadas 2020 : Persistência em campanhas de phishing globais : Uso combinado com lures de criptomoedas 2024 : Amostras ativas com lure de ferramentas Bitcoin : UPX packing modificado para evadir antivirus 2025 : Continuidade de campanhas - legado que nao morre ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com arquivo RAR contendo payload disfarado | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Shell remota para execução de comandos na vitima | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Chave de registro Run para inicializacao automatica | | Evasão | [[t1027-002-software-packing\|T1027.002]] | UPX packing com header modificado para evadir AV | | Evasão | [[t1055-process-injection\|T1055]] | Injecao de código em processos legitimos | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta de hardware, OS, localização geografica | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging em pasta local `dclogs/` | | Coleta | [[t1113-screen-capture\|T1113]] | Captura de tela em tempo real | | Coleta | [[t1125-video-capture\|T1125]] | Acesso a webcam para vigilancia | | C2 | [[t1568-001-fast-flux-dns\|T1568.001]] | Dynamic DNS para infraestrutura C2 resiliente | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de dclogs e dados coletados | ## Relevância LATAM/Brasil DarkComet historicamente afetou o Brasil como parte de campanhas globais de cibercrime, especialmente em períodos de alta atividade de malware de commodity (2011-2016). No contexto atual: - **Campanhas de criptomoedas (2024-2025):** O lure de ferramentas Bitcoin e especialmente eficaz no Brasil dado o alto interesse em criptoativos. Amostras recentes identificadas por PointWild seguem exatamente este padrao, com distribuição via phishing ou posts em forums de crypto. - **Software pirata:** Regioes com maior prevalencia de pirataria de software sao alvos naturais para DarkComet embutido em cracks de jogos e aplicativos corporativos. - **Relacao com Dark Caracal:** O grupo [[g0070-dark-caracal|Dark Caracal]], documentado pelo Citizen Lab, usou DarkComet em campanhas que abrangeram dezenas de paises incluindo regioes da América Latina, demonstrando o alcance geopolitico do malware. - **Grupo de Ameaça Ativa:** O grupo [[g1018-ta2541|TA2541]] e outros atores com foco em aviacao, setor relevante no Brasil (Embraer, companhias aereas), historicamente usaram RATs do mesmo perfil. ## Detecção e Defesa **Artefatos forenses primarios:** - **Pasta `dclogs`:** Criação de diretorio `dclogs\` em `%APPDATA%` ou proximo ao executavel - assinatura de alta fidelidade do DarkComet. - **Chave de registro Run:** `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` com valor apontando para o payload. - **Mutex:** Formato `DC_MUTEX-XXXXXXXX` - único por configuração de campanha. - **Porta TCP 1604:** Conexão de saida na porta 1604 de processos nao esperados. **Event IDs prioritarios:** - **Sysmon Event ID 3 (NetworkConnect):** Conexoes TCP na porta 1604 a dominios Dynamic DNS de processos de usuario. - **Sysmon Event ID 11 (FileCreaté):** Criação do diretorio `dclogs` em caminhos de usuario. - **Windows Event ID 4688:** Processo spawning com argumentos de modificacao de atributo de arquivo. - **Sysmon Event ID 13 (Registry):** Criação de Run key em HKCU apontando para executavel suspeito. **Regras de detecção:** - YARA: `darkcomet_dclogs` - strings internas do binario como `#BEGIN DARKCOMET DATA` e `DC_MUTEX`. - Sigma: `proc_creation_win_darkcomet_indicators.yml` - detecção por argumentos de linha de comando. - Sigma: `net_connection_darkcomet_c2_port_1604.yml` - conexão TCP porta 1604. **Mitigacoes:** - Bloquear execução de arquivos extraidos de RAR/ZIP por clientes de e-mail. - Monitorar criação de diretorios suspeitos em `%APPDATA%` por processos de usuario. - Filtrar conexoes de saida na porta 1604 TCP em firewalls perimetrais. - Implementar detecção de UPX packing em gateways de e-mail e web. ## Referências - [1](https://attack.mitre.org/software/S0334/) MITRE ATT&CK S0334 - DarkComet - [2](https://www.pointwild.com/threat-intelligence/darkcomet-rat-malware-hidden-inside-fake-bitcoin-tool) PointWild - DarkComet em fake Bitcoin tool (2025) - [3](https://www.sysnet.ucsd.edu/sysnet/miscpapers/darkmatter-www20.pdf) UCSD - Dark Matter: Uncovering the DarkComet RAT Ecosystem (2020) - [4](https://www.studocu.vn/vn/document/hoc-vien-cong-nghe-buu-chinh-vien-thong/phan-tich-ma-doc/darkcomet-rat-technical-analysis-of-attack-chain-2024/137843514) DarkComet Technical Analysis of Attack Chain (2024) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.darkcomet) Malpedia - DarkComet malware family