keyboy - RunkIntel

# KeyBoy > Tipo: **malware** · S0387 · [MITRE ATT&CK](https://attack.mitre.org/software/S0387) ## Descrição [[keyboy|KeyBoy]] é um malware de espionagem com capacidades de RAT (Remote Access Trojan) e keylogger, utilizado pelo grupo [[g0081-tropic-trooper|Tropic Trooper]] (também conhecido como KeyBoy ou APT23) em campanhas direcionadas desde pelo menos 2013. Identificado em ataques contra membros do Parlamento Tibetano em 2016, o [[keyboy|KeyBoy]] foi também empregado contra governos e entidades do setor de energia em Taiwan, Filipinas e Índia, revelando um padrão de espionagem geopolítica focado na Ásia-Pacífico, possívelmente com nexo ao governo chinês. As capacidades do [[keyboy|KeyBoy]] incluem registro de teclas ([[t1056-001-keylogging|T1056.001]]), captura de tela ([[t1113-screen-capture|T1113]]), transferência de arquivos ([[t1105-ingress-tool-transfer|T1105]]), execução de comandos via PowerShell ([[t1059-001-powershell|T1059.001]]) e Visual Basic ([[t1059-005-visual-basic|T1059.005]]), além de módulos Python ([[t1059-006-python|T1059.006]]). O malware se instala como serviço Windows ([[t1543-003-windows-service|T1543.003]]) para persistência, emprega ocultação de jánelas ([[t1564-003-hidden-window|T1564.003]]) para operação furtiva e utiliza impersonação de protocolo ([[t1001-003-protocol-or-service-impersonation|T1001.003]]) para disfarçar suas comúnicações C2. Para dificultar a análise forense, o [[keyboy|KeyBoy]] implementa timestomping ([[t1070-006-timestomp|T1070.006]]) para alterar timestamps de arquivos, mantém arquivos payload criptografados ([[t1027-013-encryptedencoded-file|T1027.013]]) e realiza reconhecimento extenso do sistema antes de estabelecer comunicação C2, incluindo descoberta de configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]) e inventário de arquivos e diretórios ([[t1083-file-and-directory-discovery|T1083]]). Sua utilização em ataques a parlamentos e organizações políticas reforça o perfil de espionagem orientada por objetivos geopolíticos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1059-006-python|T1059.006 - Python]] - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - [[t1001-003-protocol-or-service-impersonation|T1001.003 - Protocol or Service Impersonation]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1559-002-dynamic-data-exchange|T1559.002 - Dynamic Data Exchange]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1113-screen-capture|T1113 - Screen Capture]] ## Grupos que Usam - [[g0081-tropic-trooper|Tropic Trooper]] ## Detecção A detecção do [[keyboy|KeyBoy]] foca na identificação de serviços Windows anômalos e comportamentos de keylogging. Indicadores-chave incluem: instalação de novos serviços Windows ([[t1543-003-windows-service|T1543.003]]) por processos não-administrativos; jánelas de processos ocultas ([[t1564-003-hidden-window|T1564.003]]) que iniciam subprocessos; e chamadas de API de captura de input (SetWindowsHookEx) por aplicações não-documentadas. Monitoramento de comunicação de rede com impersonação de protocolos ([[t1001-003-protocol-or-service-impersonation|T1001.003]]) - tráfego que parece HTTP mas com estrutura de cabeçalho anômala - é essencial para identificar beacons C2. Alertas de EDR para execução de PowerShell ([[t1059-001-powershell|T1059.001]]) e VBScript ([[t1059-005-visual-basic|T1059.005]]) a partir de serviços Windows, combinados com timestomping de arquivos ([[t1070-006-timestomp|T1070.006]]) e uploads de arquivos via HTTP/FTP ([[t1105-ingress-tool-transfer|T1105]]), devem ser priorizados. Regras de detecção para scripts Python ([[t1059-006-python|T1059.006]]) embutidos como recursos em binários executáveis são particularmente relevantes para identificar variantes do [[keyboy|KeyBoy]]. ## Relevância LATAM/Brasil O [[g0081-tropic-trooper|Tropic Trooper]] opera predominantemente no Leste e Sudeste Asiático, com alvos em Taiwan, Filipinas e Hong Kong. A relevância direta para o Brasil é limitada, porém organizações brasileiras com subsidiárias ou parcerias em Taiwan - especialmente no setor de semicondutores, eletrônicos e energia - podem ser afetadas como alvos de acesso intermediário. Adicionalmente, ONGs e grupos de direitos humanos brasileiros com vínculos a comunidades tibetanas ou de defesa da democracia em Hong Kong devem estar cientes das campanhas de espionagem do [[g0081-tropic-trooper|Tropic Trooper]] contra essas comunidades, onde o [[keyboy|KeyBoy]] foi utilizado. ## Referências - [MITRE ATT&CK - S0387](https://attack.mitre.org/software/S0387)