# MechaFlounder > Tipo: **malware** · S0459 · [MITRE ATT&CK](https://attack.mitre.org/software/S0459) ## Descrição [[s0459-mechaflounder|MechaFlounder]] é um RAT (Remote Access Trojan) baseado em Python utilizado pelo [[g0087-apt39|APT39]] (Chafer, nexo iraniano), grupo focado em espionagem cibernética com ênfase em telecomúnicações, viagens e empresas de tecnologia. O MechaFlounder mistura código desenvolvido internamente pelo ator com trechos copiados de repositórios públicos de desenvolvimento Python, tornando mais difícil a atribuição pela simples análise de código. O MechaFlounder transfere ferramentas adicionais para o sistema comprometido ([[t1105-ingress-tool-transfer|T1105]]) e executa comandos via shell Windows ([[t1059-003-windows-command-shell|T1059.003]]) e Python ([[t1059-006-python|T1059.006]]), aproveitando o runtime Python instalado no ambiente. A comunicação C2 é via HTTP ([[t1071-001-web-protocols|T1071.001]]) com codificação padrão ([[t1132-001-standard-encoding|T1132.001]]) e identificação do usuário do sistema ([[t1033-system-owneruser-discovery|T1033]]). O malware mascara sua localização com nomes que imitam recursos legítimos ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]) e exfiltra dados via canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O [[g0087-apt39|APT39]] conduz espionagem global com foco particular em setor de telecomúnicações e empresas que possuem dados de localização e comúnicações de indivíduos de interesse. Companhias de telecomúnicações, operadoras de satelite e empresas de viagem e turismo no Brasil e na América Latina são alvos potenciais da atividade do APT39. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1059-006-python|T1059.006 - Python]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0087-apt39|APT39]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Monitorar execução de scripts Python em sistemas de produção por usuários não-desenvolvedores - o MechaFlounder usa Python como linguagem principal de implant. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Detectar comúnicações HTTP com user-agents Python genéricos (`python-requests`, `urllib`) para IPs externos não autorizados - padrão de C2 do MechaFlounder. - **[[ds-0022-file|File Creation]]** - Alertar para criação de scripts Python em diretórios temporários ou do usuário por processos de e-mail ou navegadores - vetor de entrega típico do MechaFlounder. ```sigma title: MechaFlounder Python RAT Commúnication status: experimental logsource: category: network_connection product: windows detection: selection: Initiated: 'true' Image|endswith: '\python.exe' DestinationPort: - 80 - 443 - 8080 condition: selection falsepositives: - Legitimaté Python development environments making web requests level: medium tags: - attack.command-and-control - attack.t1071.001 - code/distill ``` ## Relevância LATAM/Brasil O [[g0087-apt39|APT39]] (Chafer), com nexo iraniano, foca em empresas de telecomúnicações e viagem - setores com significativa presença no Brasil. Claro, TIM, Vivo e Oi, além de operadoras de turismo e hospitalidade brasileiras, correspondem ao perfil de alvos preferidos do APT39 globalmente, tornando o MechaFlounder e outras ferramentas do grupo relevantes para o contexto brasileiro. ## Referências - [MITRE ATT&CK - S0459](https://attack.mitre.org/software/S0459) - [FireEye - APT39: An Iranian Cyber Espionage Group](https://www.mandiant.com/resources/blog/apt39-iranian-cyber-espionage-group-focused-on-personal-information)