# QuasarRAT > [!danger] Resumo > RAT de código aberto em C# disponível no GitHub desde 2014, adotado por pelo menos 6 grupos APT distintos incluindo [[g0094-kimsuky|Kimsuky]] (Coreia do Norte), [[g0040-patchwork|Patchwork]] (India) e [[g0135-backdoordiplomacy|BackdoorDiplomacy]] (China). Em 2024 figurou entre os 9 malwares mais detectados globalmente pela Spamhaus, com variantes usadas em ataques contra instituicoes financeiras na América Latina. ## Visão Geral O [[s0262-quasarrat|QuasarRAT]] e uma ferramenta de acesso remoto (RAT) de código aberto desenvolvida em C# e disponível públicamente no GitHub desde 2014 - originalmente sob o nome "xRAT", renomeado para "Quasar" em 2015. Projetado para administracao remota legítima, o QuasarRAT oferece controle remoto de desktop via RDP, keylogging, roubo de senhas de navegadores e clientes FTP, gerenciamento de arquivos e processos, e comunicação cifrada com o servidor C2. A natureza open source e o código C# bem estruturado tornaram o [[s0262-quasarrat|QuasarRAT]] uma base popular para customizacao por grupos de ameaça. O [[g0094-kimsuky|Kimsuky]] (Coreia do Norte) usou variante chamada "xRAT" em 2022 em combinacao com o Gold Dragon, aplicando process hollowing via `rundll32.exe` para evasão. O [[g0040-patchwork|Patchwork]] (India) integrou o QuasarRAT com ofuscação adicional e scripts PowerShell para comprometer think tanks dos EUA. O [[g0045-apt10|menuPass]] (China/APT10) modificou a variante em 2019 para incorporar o SharpSploit com capacidades Mimikatz. A configuração de criptografia do [[s0262-quasarrat|QuasarRAT]] usa AES-256 em modo CBC com chave derivada via PBKDF2. Em configuracoes padrao, o C2 usa o certificado TLS com Common Name "Quasar Server CA" - um indicador de detecção amplamente disponível que operadores frequentemente negligenciam alterar. **Plataformas:** Windows ## Como Funciona O [[s0262-quasarrat|QuasarRAT]] organiza-se em namespaces .NET, com o namespace `Config` / classe `Settings` contendo parametros de operação como endereco C2, chaves de criptografia e identificadores mutex. O malware: 1. Estabelece persistência via chave de registro `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` 2. Conecta ao servidor C2 via TLS com certificado auto-assinado (CN padrao: "Quasar Server CA") 3. Cifra todas as comúnicacoes com AES-256 CBC + PBKDF2 4. Executa capacidades de keylogging, screenshot, roubo de credenciais e controle remoto ## Attack Flow - QuasarRAT ```mermaid graph TB A["Phishing / Malspam<br/>Documento malicioso<br/>com macro ou link"] --> B["Execução<br/>DLL side-loading ou<br/>process hollowing em svchost.exe"] B --> C["Persistência<br/>Registry Run Key<br/>HKCU ou Scheduled Task"] C --> D["Conexão C2<br/>TLS com cert auto-assinado<br/>CN Quasar Server CA"] D --> E["Keylogging e Screenshots<br/>Captura de atividade<br/>do usuario"] E --> F["Roubo de Credenciais<br/>Browsers, FTP clients<br/>senhas do sistema"] F --> G["Exfiltração<br/>Dados enviados via<br/>canal AES-256 cifrado"] ``` ## Timeline de Atividade ```mermaid timeline title QuasarRAT - Evolução e Adocao APT 2014 : Lancado no GitHub como xRAT 2015 : Renomeado para QuasarRAT 2016 : Gaza Cybergang usa com Downeks downloader 2018 : Patchwork usa com ofuscação contra think tanks EUA 2019 : menuPass integra SharpSploit e Mimikatz 2022 : Kimsuky usa xRAT com Gold Dragon via process hollowing 2024 : BlindEagle usa BlotchyQuasar contra setor de seguros Colombia 2024 : Top 9 mais detectado globalmente pela Spamhaus ``` ## TTPs - QuasarRAT | Tática | Técnica | Descrição | |--------|---------|-----------| | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Chave Run no registro do Windows | | Acesso a Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de senhas de navegadores | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger integrado offline e online | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | AES-256 CBC com PBKDF2 | | Evasão | [[t1564-003-hidden-window\|T1564.003]] | Jánela do processo ocultada | | Movimentação Lateral | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Controle remoto via RDP | | Privilegio | [[t1548-002-bypass-user-account-control\|T1548.002]] | Prompt UAC para elevação | ## Grupos que Utilizam | Grupo | Nexo | Uso Documentado | |-------|------|-----------------| | [[g0094-kimsuky\|Kimsuky]] | Coreia do Norte | xRAT 2022 + Gold Dragon, process hollowing | | [[g0040-patchwork\|Patchwork]] | India | Think tanks EUA, DDE payloads, ofuscação | | [[g0045-apt10\|menuPass]] | China | APT10 com SharpSploit + Mimikatz 2019 | | [[g0078-gorgon-group\|Gorgon Group]] | Pakistan | Campanhas crime cibernetico hemisfério occidental | | [[g0135-backdoordiplomacy\|BackdoorDiplomacy]] | China | Alvos governamentais e diplomaticos | | [[g0140-lazyscripter\|LazyScripter]] | Desconhecido | Campanhas contra companhias aereas LATAM | | [[g0099-blind-eagle-apt-c-36\|BlindEagle]] | América Latina | BlotchyQuasar contra seguros Colombia 2024 | ## Relevância LATAM/Brasil O [[s0262-quasarrat|QuasarRAT]] e frequentemente detectado em campanhas de spear-phishing contra o Brasil, distribuido em e-mails com documentos maliciosos imitando notificacoes fiscais, faturas e comúnicados governamentais. O [[g0140-lazyscripter|LazyScripter]] - que usa QuasarRAT em campanhas contra companhias aereas no Brasil e América Latina - representa ameaça direta ao setor de aviacao nacional. Em 2024, a Spamhaus documentou variantes do QuasarRAT em ataques contra instituicoes financeiras na América Latina, confirmando relevância regional concreta. O [[g0078-gorgon-group|Gorgon Group]] também utilizou QuasarRAT em campanhas de crime cibernetico contra alvos no hemisfério occidental. O baixo custo de aquisicao (open source) e alta customizabilidade tornam esta RAT acessivel até para grupos de crime cibernetico de baixo sofisticacao que operam no Brasil. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 3 (NetworkConnect):** Conexoes TCP para C2 com certificado TLS CN "Quasar Server CA" - indicador de operadores que nao alteraram configuração padrao - **Sysmon Event ID 13 (RegistryValueSet):** Chave `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` criada por processo .NET - **Zeek/Suricata:** Detecção de SSL com subject "CN=Quasar Server CA" - script open source disponível em github.com/corelight/zeek-quasarrat-detector **Regras de detecção:** - YARA: Classes .NET `Quasar.Client`, `Quasar.Common.Networking`, strings `xRAT.` (versao antiga) - Sigma: `proc_creation_win_quasarrat_indicators.yml` no SigmaHQ - Network: Protocolo binario customizado em TCP com payload AES-128 + 4 bytes de tamanho no header ## Referências - [1](https://attack.mitre.org/software/S0262/) MITRE ATT&CK - QuasarRAT S0262 (2024) - [2](https://corelight.com/blog/quasar-rat-detection) Corelight - Detecting Quasar RAT Malware (2024) - [3](https://asec.ahnlab.com/en/31089/) AhnLab ASEC - Distribution of Kimsuky Group xRAT (2022) - [4](https://assets.kpmg.com/content/dam/kpmgsites/in/pdf/2023/11/kpmg-ctip-quasar-rat-07-nov-2023.pdf) KPMG - Cyber Threat Intelligence: Quasar RAT (2023) - [5](https://1275.ru/wp-content/uploads/2022/08/qualys-wp-stealthy-quasar-evolving-to-lead-the-rat-race-v220727.pdf) Qualys - Stealthy Quasar Evolving to Lead the RAT Race (2022) - [6](https://malpedia.caad.fkie.fraunhofer.de/details/win.quasar_rat) Malpedia - Quasar RAT Family (2026)