# COTX RAT > Tipo: **rat** · S0591 · [MITRE ATT&CK](https://attack.mitre.org/software/S0591) ## Descrição [[s0591-cotx-rat|COTX RAT]] é um remote access trojan (RAT) utilizado pelo grupo [[g0129-mustang-panda|Mustang Panda]] (também conhecido como TA416, RedDelta e Bronze President), grupo de espionagem cibernética associado à China. Identificado em campanhas desde pelo menos 2019, o COTX RAT funciona como backdoor de segundo estágio entregue após acesso inicial, frequentemente por meio de documentos maliciosos com macros ou links de spear-phishing. O malware é projetado para coletar informações de inteligência em organizações governamentais, ONGs e entidades diplomáticas. O [[s0591-cotx-rat|COTX RAT]] realiza extenso reconhecimento do sistema comprometido antes de iniciar operações de exfiltração: enumera processos, usuários, informações do sistema e diretórios de arquivos. Utiliza criptografia simétrica para proteger comúnicações C2 e exfiltra dados comprimidos via canal C2 criptografado. A injeção de DLL em processos legítimos do Windows é o mecanismo primário de execução e evasão, permitindo que o malware opere sob a cobertura de aplicativos confiáveis. O COTX RAT pode baixar e executar payloads adicionais conforme as necessidades operacionais do atacante. O uso do [[s0591-cotx-rat|COTX RAT]] pelo [[g0129-mustang-panda|Mustang Panda]] em campanhas contra organizações na Europa, Ásia e América do Sul demonstra o alcance global das operações do grupo. O COTX RAT frequentemente complementa outras ferramentas do arsenal do Mustang Panda, como o PlugX e o Cobalt Strike, em operações de espionagem de longa duração. A presença deste RAT em ambientes comprometidos geralmente indica fase de coleta ativa de inteligência após comprometimento inicial. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Grupos que Usam - [[g0129-mustang-panda|Mustang Panda]] ## Detecção - Monitorar injeção de DLL em processos legítimos do Windows ([[t1055-001-dynamic-link-library-injection|T1055.001]]) - Detectar comúnicações C2 criptografadas simétricamente para servidores externos não reconhecidos ([[t1573-001-symmetric-cryptography|T1573.001]]) - Alertar sobre criação de arquivos ZIP/RAR em diretórios temporários por processos incomuns ([[t1560-001-archive-via-utility|T1560.001]]) - Identificar varreduras sequenciais de processos e diretórios por processos sem uso legítimo ([[t1057-process-discovery|T1057]]) - Monitorar exfiltração de dados comprimidos via canais HTTP/HTTPS para infraestrutura C2 conhecida do Mustang Panda ## Relevância LATAM/Brasil O [[g0129-mustang-panda|Mustang Panda]] tem histórico de campanhas contra organizações diplomáticas, ONGs e governos em todo o mundo. O Brasil, como potência emergente com representações diplomáticas globais e interesses estratégicos na relação com a China, representa um alvo potencial relevante. Missões diplomáticas brasileiras em países do Indo-Pacífico e organizações governamentais brasileiras com relacionamento com Taiwan ou Hong Kong são especialmente vulneráveis. A prática documentada do grupo de usar documentos temáticos geopolíticos como isca inclui materiais relacionados à América Latina. ## Referências - [MITRE ATT&CK - S0591](https://attack.mitre.org/software/S0591) - [MITRE ATT&CK - Mustang Panda](https://attack.mitre.org/groups/G0129)