# Hupigon > Tipo: **RAT** · S0070 · [MITRE ATT&CK](https://attack.mitre.org/software/S0070) ## Descrição [[hupigon|Hupigon]] é um Remote Access Trojan (RAT) de origem chinesa, ativo desde pelo menos 2006 e utilizado pelo grupo de espionagem [[g0026-apt18|APT18]] (também conhecido como Dynamite Panda ou TG-0416), atribuído à China. O Hupigon é uma das ferramentas de RAT de mais longa data no ecossistema de ameaças APT chinesas, e sua longevidade demonstra a eficácia continuada de ferramentas relativamente simples quando operadas por grupos experientes. O malware foi implantado em campanhas contra organizações de saúde, defesa, aeroespacial e governo nos EUA. O Hupigon é um RAT rico em funcionalidades: suporta keylogging para captura de credenciais e atividade do usuário, captura de tela para monitoramento visual, acesso remoto ao sistema de arquivos, execução de comandos via shell, e comunicação C2 via HTTP. A persistência é estabelecida via chaves de registro de inicialização do Windows. O malware pode ser configurado por seus operadores com parâmetros de C2 específicos antes da distribuição, tornando cada campanha potencialmente usando amostras customizadas com infraestrutura distinta. O [[g0026-apt18|APT18]] é reconhecido por operações de longa duração contra alvos de alto valor no setor de saúde, com o roubo de propriedade intelectual e registros de saúde sendo objetivos documentados. O grupo foi associado à violação de dados da Anthem (2015), uma das maiores violações de dados de saúde da história americana. O Hupigon representa o vetor de acesso que permite esse tipo de comprometimento prolongado e coleta massiva de dados. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0026-apt18|APT18]] ## Detecção A detecção do Hupigon foca em seus comportamentos de keylogging e comunicação C2. Monitorar APIs de hooks de teclado do Windows (SetWindowsHookEx com WH_KEYBOARD_LL) chamadas por processos não-relacionados a softwares de acessibilidade ou IME é eficaz. Padrões de beacon HTTP para servidores C2 - especialmente com User-Agent strings incomuns - podem ser detectados via análise de tráfego de rede. No host, registros de criação de chaves de inicialização por processos incomuns (Sysmon Event ID 13) completam a cobertura. ## Relevância LATAM/Brasil O setor de saúde brasileiro - incluindo operadoras de plano de saúde, hospitais privados e laboratórios - mantém grandes bases de dados de registros de pacientes que são alvos de interesse para grupos de espionagem como o [[g0026-apt18|APT18]]. Adicionalmente, o setor farmacêutico e de biotecnologia no Brasil possui propriedade intelectual valiosa. As técnicas do Hupigon (keylogging, captura de tela, HTTP C2) são padrões amplamente utilizados por grupos que atacam o Brasil, tornando as regras de detecção correspondentes amplamente aplicáveis. ## Referências - [MITRE ATT&CK - S0070](https://attack.mitre.org/software/S0070) - [FireEye - APT18: Dynamite Panda](https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-operation-quantum-entanglement.pdf)