# 3PARA RAT > Tipo: **malware** · S0066 · [MITRE ATT&CK](https://attack.mitre.org/software/S0066) ## Descrição [[s0066-3para-rat|3PARA RAT]] é uma ferramenta de acesso remoto (RAT) programada em C++ que foi utilizada pelo [[g0024-putter-panda|Putter Panda]], grupo de espionagem cibernética associado à China e vinculado ao Terceiro Departamento do Estado-Maior do Exército Popular de Libertação (PLA). O malware oferece capacidades completas de acesso remoto, incluindo execução de comandos arbitrários, enumeração de arquivos e diretórios, e comunicação C2 via [[t1071-001-web-protocols|protocolos web]] com criptografia simétrica para ofuscar o tráfego de rede. Para persistência e evasão, o 3PARA RAT utiliza [[t1070-006-timestomp|timestomping]] para alterar timestamps de arquivos e dificultar análise forense. O C2 opera sobre HTTP ou HTTPS com strings de User-Agent legítimas para se misturar ao tráfego normal. O malware realiza descoberta de arquivos e diretórios para identificar dados de interesse antes de executar a exfiltração. Suas capacidades de reconhecimento incluem listagem de processos e coleta de informações sobre o sistema operacional. O 3PARA RAT foi documentado em contexto de campanhas de espionagem conduzidas pelo [[g0024-putter-panda|Putter Panda]] contra alvos governamentais, de defesa e aeroespaciais, principalmente nos Estados Unidos e na Europa. A atribuição ao PLA Unit 61486 foi estabelecida através de análise técnica do código e infraestrutura C2 compartilhada com outros implantes do grupo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] ## Grupos que Usam - [[g0024-putter-panda|Putter Panda]] ## Detecção - **Sysmon Event ID 3** (Network Connection): monitorar conexões HTTP/HTTPS de processos não esperados, especialmente com User-Agent strings incomuns ou destinos C2 conhecidos associados ao Putter Panda. - **Sysmon Event ID 11** (FileCreaté) e **Event ID 2** (FileCreateTime Changed): alertar sobre alterações de timestamps de arquivos executáveis, indicando possível timestomping. - **EDR telemetria**: detectar acesso a múltiplos diretórios por processos suspeitos em sequência rápida, padrão típico de enumeração de filesystem por RATs. - **Referência Sigma**: `proc_creation_win_susp_recon_activity.yml` - detecção de atividade de reconhecimento combinada com criação de processos filho inesperados. ## Relevância LATAM/Brasil O 3PARA RAT é primariamente direcionado a alvos governamentais, de defesa e aeroespaciais nos Estados Unidos, Europa e Ásia, alinhado ao mandato de coleta de inteligência do PLA. Não há registros públicos de campanhas direcionadas específicamente à América Latina ou ao Brasil. No entanto, organizações brasileiras com parcerias internacionais nos setores aeroespacial e de defesa (como a Embraer e o Comando da Aeronáutica) podem ser alvos de interesse secundário de grupos APT chineses com perfil operacional similar ao [[g0024-putter-panda|Putter Panda]]. ## Referências - [MITRE ATT&CK - S0066](https://attack.mitre.org/software/S0066)