s0428-poetrat - RunkIntel

# PoetRAT > Tipo: **RAT** · S0428 · [MITRE ATT&CK](https://attack.mitre.org/software/S0428) ## Descrição [[s0428-poetrat|PoetRAT]] é um trojan de acesso remoto identificado pela primeira vez pela Cisco Talos em abril de 2020, nomeado a partir de referências no código ao poeta William Shakespeare. O PoetRAT foi utilizado em múltiplas campanhas direcionadas ao Azerbaijão, incluindo ataques contra o setor privado e entidades governamentais com foco especial em sistemas de controle industrial (ICS/SCADA) no setor de energia durante o conflito de Nagorno-Karabakh. O grupo de atividade STIBNITE foi observado utilizando o malware. Implementado em Python e distribuído geralmente como executável compilado com PyInstaller, o PoetRAT possui capacidades abrangentes de coleta: captura de tela automática, gravação de vídeo via webcam ([[t1125-video-capture|T1125]]), coleta automatizada de arquivos ([[t1119-automated-collection|T1119]]) e exfiltração via FTP ([[t1071-002-file-transfer-protocols|T1071.002]]) ou protocolos alternativos ([[t1048-exfiltration-over-alternative-protocol|T1048]]). A entrega inicial ocorre via spearphishing com anexos maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]), frequentemente utilizando documentos isca sobre a pandemia COVID-19 ou contratos de energia para maximizar a taxa de abertura. A capacidade de comprometer sistemas ICS/SCADA torna o PoetRAT particularmente relevante para análise de ameaças a infraestrutura crítica. Embora atribuído a contexto geopolítico específico (conflito no Cáucaso), as técnicas e o código-base do PoetRAT demonstram o modelo de ameaça a sistemas de controle industrial via comprometimento de estações de trabalho Windows que interagem com esses sistemas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1125-video-capture|T1125 - Video Capture]] ## Detecção **Fontes de dados recomendadas:** - **Processo:** Detecção de executáveis Python compilados com PyInstaller em diretórios de usuário - presença do diretório temporário `_MEIXXXXXX` gerado pelo PyInstaller é indicativo - **Rede:** Conexões FTP de saída de estações de trabalho não-servidor; tráfego FTP para domínios/IPs externos não listados em whitelist - **Sysmon Event ID 12/13 (RegistryEvent):** Modificações no registro para persistência; criação de arquivos ocultos ([[t1564-001-hidden-files-and-directories|T1564.001]]) em diretórios de sistema **Regras de detecção:** - YARA: Detecção de strings Shakespeare no código Python descompilado e estruturas de módulos PyInstaller do PoetRAT (Cisco Talos - 2020) - Sigma: Detecção de processo Python ou executável PyInstaller realizando conexão FTP de saída ## Relevância LATAM/Brasil Embora o PoetRAT tenha sido usado em contexto geopolítico específico (Azerbaijão), suas técnicas - especialmente foco em ICS/SCADA via phishing com documentos isca contextualizados - são altamente relevantes para o Brasil. O país opera extensa infraestrutura crítica de energia elétrica (hidrelétricas), petróleo e gás (Petrobras), além de sistemas de saneamento e transporte que utilizam SCADA. Grupos que adotam TTPs similares ao PoetRAT representam ameaça concreta a esses setores, e o modelo de entrega via spearphishing com temas locais (contratos de energia, regulações da ANEEL) é facilmente adaptável ao contexto brasileiro. ## Referências - [MITRE ATT&CK - S0428](https://attack.mitre.org/software/S0428) - [Cisco Talos - PoetRAT: Python RAT Uses COVID-19 Lures to Target Azerbaijan](https://blog.talosintelligence.com/poetrat-python-rat-uses-covid-19-lures/) - Abril 2020