# Pisloader > Tipo: **malware** · S0124 · [MITRE ATT&CK](https://attack.mitre.org/software/S0124) ## Descrição [[s0124-pisloader|Pisloader]] é uma família de malware utilizada pelo [[g0026-apt18|APT18]], notável pelo uso de DNS como protocolo de comando e controle ([[t1071-004-dns|T1071.004]]) em lugar de HTTP/HTTPS tradicional. Essa escolha de protocolo confere ao Pisloader maior capacidade de evasão em redes monitoradas, pois consultas DNS são raramente bloqueadas por firewalls corporativos. O malware também emprega táticas anti-análise deliberadas, como verificações de ambiente e ofuscação de código ([[t1027-obfuscated-files-or-information|T1027]]), para dificultar análise forense e em sandboxes. O Pisloader apresenta semelhanças funcionais com o [[s0070-httpbrowser|HTTPBrowser]], outra ferramenta do arsenal do [[g0026-apt18|APT18]], sugerindo desenvolvimento compartilhado ou reutilização de código entre as famílias. A persistência é estabelecida via chaves de Run do registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]), e o malware realiza reconhecimento de rede e sistema antes de aguardar comandos do operador via túnel DNS. A codificação de dados ([[t1132-001-standard-encoding|T1132.001]]) é aplicada ao conteúdo dos registros DNS para disfarçar o tráfego C2. O [[g0026-apt18|APT18]], também referênciado como Dynamite Panda ou TG-0416, é um grupo de ameaça persistente avançada vinculado à China com histórico de ataques contra organizações de saúde, manufatura aeroespacial e serviços financeiros. O uso de DNS-over-C2 no Pisloader antecipou uma tendência que se tornaria comum em malwares sofisticados posteriores. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0026-apt18|APT18]] ## Detecção **Fontes de dados recomendadas:** - **DNS logs:** Volume anômalo de consultas DNS TXT para domínios recém-registrados ou com TTL muito baixo; queries DNS para subdomínios com strings codificadas em Base64 no nome do host - **Sysmon Event ID 22 (DNSEvent):** Consultas DNS originadas de processos não-navegador para domínios não categorizados - **Windows Registry:** Monitoramento de criação/modificação em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` com valores apontando para executáveis em AppData ou Temp **Regras de detecção:** - Sigma: `net_dns_c2_pisloader.yml` - padrão de consultas DNS TXT com payload codificado originado de processo suspeito - YARA: Strings internas e rotinas de codificação Base64 customizadas identificadas em amostras do Pisloader (2016) ## Relevância LATAM/Brasil O [[g0026-apt18|APT18]] tem foco em roubo de propriedade intelectual industrial e espionagem corporativa, com alvos recorrentes nos setores farmacêutico, aeroespacial e financeiro. O Brasil, como maior hub industrial da América Latina com empresas como Embraer (aeroespacial) e grupos farmacêuticos de relevância global, representa um alvo potencial para grupos como o APT18. Técnicas de C2 via DNS como as do Pisloader são particularmente relevantes para o contexto brasileiro, onde filtros de DNS customizados ainda são menos adotados em empresas de médio porte do que em economias mais maduras em segurança cibernética. ## Referências - [MITRE ATT&CK - S0124](https://attack.mitre.org/software/S0124) - [Palo Alto Unit 42 - Pisloader Malware Analysis](https://unit42.paloaltonetworks.com/unit42-new-poison-ivy-rat-variant-targets-hong-kong-pro-democracy-activists/) - 2016