# 4H RAT > Tipo: **malware** · S0065 · [MITRE ATT&CK](https://attack.mitre.org/software/S0065) ## Descrição [[s0065-4h-rat|4H RAT]] é um malware utilizado pelo [[g0024-putter-panda|Putter Panda]] desde pelo menos 2007, sendo um dos implantes mais antigos associados a esse grupo APT de origem chinesa. Trata-se de uma ferramenta de acesso remoto que oferece capacidades de descoberta de sistema e de rede, execução de comandos via [[t1059-003-windows-command-shell|Windows Command Shell]] e comunicação C2 via [[t1071-001-web-protocols|protocolos web]] com [[t1573-001-symmetric-cryptography|criptografia simétrica]] para ofuscar o canal de controle. O 4H RAT realiza reconhecimento abrangente na máquina comprometida, coletando informações sobre processos em execução ([[t1057-process-discovery|T1057]]), configurações de rede ([[t1082-system-information-discovery|T1082]]) e estrutura de arquivos e diretórios ([[t1083-file-and-directory-discovery|T1083]]). Essas informações permitem ao operador selecionar alvos de interesse e planejar movimentação lateral ou exfiltração de dados. A longa vida operacional do malware, desde 2007, demonstra a capacidade do [[g0024-putter-panda|Putter Panda]] de manter ferramentas funcionais por muitos anos. O 4H RAT foi documentado em investigações sobre espionagem cibernética contra setores aeroespacial, de defesa e tecnologia nos Estados Unidos e Europa. A análise forense revelou sobreposição de infraestrutura C2 com outros implantes do grupo, como o [[s0066-3para-rat|3PARA RAT]], corroborando a atribuição ao mesmo ator de ameaça. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1057-process-discovery|T1057 - Process Discovery]] ## Grupos que Usam - [[g0024-putter-panda|Putter Panda]] ## Detecção - **Sysmon Event ID 3** (Network Connection): monitorar conexões de saída em HTTP/HTTPS originadas de processos suspeitos; o 4H RAT mascara comúnicações C2 com tráfego web legítimo. - **Sysmon Event ID 1** (Process Creation): alertar sobre execução de `cmd.exe` ou `powershell.exe` como processos filho de aplicativos que não deveriam invocá-los. - **EDR telemetria**: detectar sequências de comandos de descoberta (ipconfig, systeminfo, tasklist) executados em rápida sucessão por um processo pai incomum. - **Referência Sigma**: `proc_creation_win_whoami_execution.yml` e `net_connection_win_c2_communication.yml` são regras relevantes para detecção de comportamentos típicos de RATs. ## Relevância LATAM/Brasil Assim como outros implantes do [[g0024-putter-panda|Putter Panda]], o 4H RAT foca em alvos de espionagem nos setores de defesa, aeroespacial e tecnologia avançada, predominantemente nos EUA, Europa e Ásia. Não há relatos públicos de campanhas direcionadas ao Brasil ou à América Latina por este grupo. Organizações brasileiras nos setores estratégicos como EMBRAER, empresas do setor petrolífero ou de infraestrutura crítica com operações globais podem, no entanto, ser alvos de interesse indireto para grupos APT com perfil similar. ## Referências - [MITRE ATT&CK - S0065](https://attack.mitre.org/software/S0065)