# InnaputRAT > Tipo: **malware** · S0259 · [MITRE ATT&CK](https://attack.mitre.org/software/S0259) ## Descrição [[s0259-innaputrat|InnaputRAT]] é uma ferramenta de acesso remoto (RAT) documentada desde 2016, desenvolvida para exfiltração de arquivos e execução de comandos em sistemas Windows comprometidos. O malware foi analisado pela ASERT (Arbor Security Engineering & Response Team) em 2016, com amostras identificadas em campanhas de spear-phishing contra alvos específicos. Embora não tenha atribuição pública definitiva a um grupo APT específico, suas características técnicas sugerem um ator de ameaça focado em coleta de inteligência via exfiltração de documentos. O InnaputRAT implementa persistência via múltiplos mecanismos: chaves de registro de inicialização, criação de serviços Windows e mascaramento como serviço ou processo legítimo. O malware se registra com nomes que imitam serviços legítimos do Windows para dificultar a identificação manual. A exfiltração de dados é seletiva - o RAT realiza discovery extensivo de arquivos e diretórios antes de enviar dados ao C2, priorizando tipos de arquivo específicos (documentos, planilhas, apresentações). Técnicas de ofuscação protegem o payload contra análise estática. Apesar de ser uma ferramenta relativamente simples comparada a implantes de nações-estado mais sofisticados, o InnaputRAT demonstra as capacidades essenciais de um RAT funcional: execução de comandos arbitrários, coleta e envio de arquivos, e persistência robusta. Sua simplicidade pode ser uma vantagem operacional - ferramentas simples frequentemente têm menos indicadores forenses que soluções mais complexas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] ## Detecção Para detectar o InnaputRAT, monitore a criação de serviços Windows com nomes que imitam serviços legítimos do sistema (Event ID 7045) - comparar o nome do serviço com binários esperados é uma verificação eficaz. Alertas para processos que realizam descoberta extensiva de arquivos e diretórios seguida de transferência de dados pela rede são indicadores comportamentais. Regras YARA baseadas nas strings de ofuscação e nos padrões de comunicação C2 identificados nas análises públicas ajudam na detecção de amostras conhecidas. Ferramentas de DLP (Data Loss Prevention) que monitoram grandes volumes de transferência de documentos para destinos externos completam a cobertura. ## Relevância LATAM/Brasil O InnaputRAT representa um padrão de ameaça (RAT simples focado em exfiltração de documentos) que é prevalente no Brasil. Grupos de crime cibernético e espionagem industrial que operam no país frequentemente usam RATs com capacidades similares para coletar documentos sensíveis de empresas. O setor governamental, jurídico, contábil e de saúde - que lidam com grandes volumes de documentos confidenciais - são alvos típicos. A simplicidade do InnaputRAT reflete o baixo custo de entrada para operações de espionagem documental. ## Referências - [MITRE ATT&CK - S0259](https://attack.mitre.org/software/S0259) - [ASERT - InnaputRAT Analysis](https://asert.arbornetworks.com/innaput-actors-utilize-remote-access-trojan-since-2016-possibly-related-to-cloud-atlas/)