# KindleRAT > Tipo: **rat** · [MITRE ATT&CK](https://attack.mitre.org/software/S0276) ## Descrição [[kindlerat|KindleRAT]] é um Remote Access Trojan atribuído ao [[g0022-apt3|APT3]] (também conhecido como Gothic Panda, UPS Team, TG-0110), grupo de espionagem cibernética chinês com histórico de operações contra indústrias aeroespacial, de defesa, telecomúnicações e alta tecnologia nos Estados Unidos e outros países ocidentais. O [[kindlerat|KindleRAT]] foi utilizado pelo [[g0022-apt3|APT3]] em campanhas de espionagem industrial a partir de 2013, como parte do toolkit diversificado do grupo que incluía também ferramentas como PlugX e HTTPBrowser. As capacidades do [[kindlerat|KindleRAT]] incluem execução de comandos remotos via Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]), descoberta do sistema ([[t1082-system-information-discovery|T1082]]) e de arquivos ([[t1083-file-and-directory-discovery|T1083]]), transferência de arquivos ([[t1105-ingress-tool-transfer|T1105]]) e comunicação C2 via HTTP ([[t1071-001-web-protocols|T1071.001]]). Persistência é mantida via registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e o payload é ofuscado ([[t1027-obfuscated-files-or-information|T1027]]) para evadir detecção. A exfiltração ocorre pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O [[g0022-apt3|APT3]] foi associado pelo governo dos Estados Unidos ao Ministério de Segurança do Estado da China (MSS), e em 2017 indivíduos chineses foram indiciados pelo DOJ por atividades relacionadas ao grupo. O [[kindlerat|KindleRAT]], embora menos documentado que outras ferramentas do [[g0022-apt3|APT3]], faz parte de um padrão mais amplo de espionagem industrial chinesa que custou às empresas ocidentais trilhões de dólares em propriedade intelectual roubada. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Grupos que Usam - [[g0022-apt3|APT3]] ## Detecção Detecção do [[kindlerat|KindleRAT]] segue padrões gerais de detecção de RATs Windows: monitorar processos criando conexões HTTP para domínios externos incomuns; executáveis com comportamento de descoberta de sistema logo após instalação; e modificações em chaves de autorun do registro por processos não-administrativos. Análise de tráfego de rede para identificar padrões de beacon C2 com intervalos regulares é eficaz. IOCs do [[g0022-apt3|APT3]] públicados pelo DOJ e empresas de threat intelligence devem ser integrados às plataformas de TIP. ## Relevância LATAM/Brasil O [[g0022-apt3|APT3]] focou principalmente em alvos nos Estados Unidos e Europa, mas empresas brasileiras com filiais, parcerias ou joint ventures com empresas americanas nos setores aeroespacial e de defesa podem ser alvos colaterais de espionagem industrial. A Embraer, por exemplo, como empresa aeroespacial de importância global e com tecnologia proprietária avançada, seria um alvo de alto valor para grupos de espionagem industrial chineses. Conscientização sobre técnicas de RATs como o [[kindlerat|KindleRAT]] é relevante para equipes de segurança em setores estratégicos brasileiros. ## Referências - [MITRE ATT&CK](https://attack.mitre.org)