# KiRat > Tipo: **rat** · [MITRE ATT&CK](https://attack.mitre.org/software/S0276) ## Descrição [[kirat|KiRat]] é um Remote Access Trojan atribuído ao [[g0094-kimsuky|Kimsuky]], grupo de espionagem cibernética norte-coreano ativo desde pelo menos 2012, com foco primário em organizações governamentais, think tanks, institutos de pesquisa e indústrias relacionadas à reunificação das Coreias, segurança nuclear e sanções internacionais. O [[g0094-kimsuky|Kimsuky]] utiliza o [[kirat|KiRat]] como ferramenta de espionagem de segunda fase após o comprometimento inicial via spearphishing temático com documentos relacionados a assuntos da península coreana. As capacidades do [[kirat|KiRat]] incluem registro de teclas ([[t1056-001-keylogging|T1056.001]]), captura de tela periódica ([[t1113-screen-capture|T1113]]), execução de comandos remotos ([[t1059-003-windows-command-shell|T1059.003]]) e exfiltração de dados coletados pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). A comunicação ocorre via HTTP ([[t1071-001-web-protocols|T1071.001]]) e o malware mantém persistência via registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). O reconhecimento inicial inclui descoberta de informações do sistema ([[t1082-system-information-discovery|T1082]]) e inventário de arquivos ([[t1083-file-and-directory-discovery|T1083]]) para identificar documentos de valor estratégico. O [[g0094-kimsuky|Kimsuky]] é um dos grupos APT mais ativos da Coreia do Norte, com operações bem documentadas contra governos sul-coreanos, americanos, europeus e jáponeses. O grupo é conhecido por campanhas de longa duração de coleta de inteligência sobre programas nucleares, políticas de sanções e dinâmicas da península coreana - informações críticas para o processo de tomada de decisão do regime norte-coreano. O [[kirat|KiRat]] faz parte do arsenal diversificado do [[g0094-kimsuky|Kimsuky]] que inclui também ferramentas como AppleSeed e BabyShark. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0094-kimsuky|Kimsuky]] ## Detecção Detecção do [[kirat|KiRat]] segue padrões gerais de detecção de RATs de keylogging. Monitorar: instalação de hooks de teclado (WH_KEYBOARD_LL) por processos não-autorizados; capturas de tela periódicas por processos em background; e comúnicações HTTP regulares para domínios externos de baixa reputação. IOCs públicados pelo US-CERT, CISA e NSA sobre o [[g0094-kimsuky|Kimsuky]] incluem hashes, domínios C2 e assinaturas de rede para detecção de suas ferramentas, incluindo o [[kirat|KiRat]]. ## Relevância LATAM/Brasil O [[g0094-kimsuky|Kimsuky]] tem relevância crescente para o Brasil em função da posição diplomática brasileira em fóruns multilaterais sobre controle de armas nucleares e não-proliferação (o Brasil tem programa nuclear civil e é parte de negociações de tratados internacionais). Embaixadas, Itamaraty, institutos de pesquisa nuclear (IPEN, INB) e organizações relacionadas a políticas de sanções internacionais são alvos potenciais para espionagem do [[g0094-kimsuky|Kimsuky]]. Adicionalmente, a crescente presença norte-coreana na internet global via criptomoedas cria vetores de contato indireto com organizações financeiras brasileiras. ## Referências - [MITRE ATT&CK](https://attack.mitre.org)