# httprat > Tipo: **malware** · S0237 · [MITRE ATT&CK](https://attack.mitre.org/software/S0237) ## Descrição [[httprat|httprat]] é um RAT (Remote Access Trojan) utilizado pelo grupo iraniano [[g0069-mango-sandstorm|MuddyWater]] (também conhecido como TEMP.Zagros, Static Kitten ou Seedworm), um ator de ameaça patrocinado pelo governo iraniano que conduz operações de espionagem e sabotagem contra governos, telecomúnicações e organizações de defesa no Oriente Médio, Europa e América do Norte. O httprat usa HTTP como protocolo de comunicação C2, misturando tráfego malicioso com o fluxo legítimo de navegação web - uma técnica característica das ferramentas do [[g0069-mango-sandstorm|MuddyWater]]. O httprat fornece capacidades fundamentais de controle remoto: execução de comandos via shell Windows, descoberta de arquivos e diretórios, coleta de informações do sistema e transferência de ferramentas adicionais. O malware emprega ofuscação para dificultar análise estática. A comunicação HTTP com o servidor C2 pode ser configurada para usar domínios ou IPs específicos, com os detalhes de configuração embutidos no binário ou em arquivos de configuração separados que o malware lê na inicialização. O [[g0069-mango-sandstorm|MuddyWater]] é conhecido por usar múltiplas ferramentas personalizadas em suas operações, frequentemente rotacionando entre implantes para dificultar rastreamento. O httprat representa uma das ferramentas de acesso básico do arsenal do grupo, usada em estágios iniciais de comprometimento antes de implantes mais sofisticados. O grupo também usa ferramentas públicas como PowerSploit, CrackMapExec e Metasploit em suas operações, tornando a atribuição baseada apenas em ferramentas mais desafiadora. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[g0069-mango-sandstorm|MuddyWater]] ## Detecção A detecção do httprat deve focar na comunicação HTTP C2 e nos comportamentos pós-exploração. Análise de tráfego HTTP para identificar padrões de beacon - requisições periódicas para o mesmo destino com pouca variação de conteúdo - é eficaz. Monitoramento de processos que fazem conexões de rede HTTP mas não são navegadores ou aplicações web conhecidas (usando ferramentas como Sysmon Event ID 3) é prioritário. Regras YARA baseadas nos padrões de ofuscação do httprat identificados em análises públicas ajudam na detecção de amostras. ## Relevância LATAM/Brasil O [[g0069-mango-sandstorm|MuddyWater]] tem foco operacional no Oriente Médio, mas campanhas documentadas incluem alvos em múltiplos continentes. Organizações brasileiras com vínculos no Oriente Médio (especialmente no setor de petróleo e gás, diplomacia e defesa) devem monitorar TTPs do [[g0069-mango-sandstorm|MuddyWater]]. As técnicas de RAT via HTTP usadas pelo httprat são diretamente relevantes para o contexto brasileiro como padrão de detecção aplicável a ameaças locais que usam a mesma abordagem. ## Referências - [MITRE ATT&CK - S0237](https://attack.mitre.org/software/S0237) - [Symantec - MuddyWater: Iranian Threat Group](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/muddywater-iran-nation-state-espionage)