# FlowCloud > Tipo: **RAT** · S0641 · [MITRE ATT&CK](https://attack.mitre.org/software/S0641) ## Descrição [[flowcloud|FlowCloud]] é uma ferramenta de acesso remoto (RAT) altamente sofisticada atribuída ao grupo de espionagem [[ta410|TA410]], ativo desde pelo menos 2019. O malware é considerado uma evolução técnica do LookBack, outra ferramenta do mesmo grupo, e foi implantado em campanhas de espionagem direcionadas a organizações do setor de energia e utilities nos Estados Unidos e na Ásia. O [[flowcloud|FlowCloud]] é distribuído via spear-phishing com documentos Word maliciosos que exploram vulnerabilidades do editor de equações do Microsoft Office. O [[flowcloud|FlowCloud]] possui um conjunto abrangente de capacidades de vigilância: captura de keystrokes, áudio via microfone, screenshots, movimentos do mouse, acesso a arquivos e clipboard. O malware opera como um serviço Windows para garantir persistência e utiliza múltiplas técnicas de ofuscação para ocultar sua presença. A comunicação C2 é realizada sobre protocolos web padrão, com dados exfiltrados em formato criptografado. Uma característica notável é a capacidade de capturar cliques e posições do mouse, permitindo ao operador reconstruir ações do usuário mesmo sem acesso ao vídeo. A infraestrutura do [[ta410|TA410]] demonstra sobreposição com o grupo [[g0045-apt10|APT10]], levando alguns pesquisadores a teorizarem que o TA410 sejá um subgrupo ou afiliado do APT10 operando de forma semi-independente. O foco em infraestrutura crítica de energia torna o FlowCloud particularmente relevante para análise de ameaças ao setor elétrico. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar instalação de serviços Windows por processos não-administrativos > - Detectar exploração de vulnerabilidades do editor de equações do Office (EQNEDT32.EXE) > - Alertar sobre processos que acessam microfone e câmera fora de aplicações autorizadas > - Verificar comúnicações HTTP periódicas para domínios recentemente registrados > - Monitorar uso de APIs de captura de áudio do Windows por processos de serviço ## Relevância LATAM/Brasil O setor elétrico brasileiro é um dos maiores e mais complexos do mundo, com participação significativa de empresas estatais como Eletrobras e Petrobras. O foco do [[ta410|TA410]] em infraestrutura crítica de energia é diretamente relevante para o Brasil, especialmente considerando os investimentos em energia renovável e as interconexões com países vizinhos. Campanhas de espionagem contra o setor energético brasileiro têm o potencial de comprometer planejamento estratégico, dados de geração e distribuição, e contratos de fornecimento. Operadores de infraestrutura crítica devem considerar o FlowCloud como referência de TTP para construção de detecções específicas ao setor. ## Referências - [MITRE ATT&CK - S0641](https://attack.mitre.org/software/S0641)