# Indigo Zebra RAT > Tipo: **RAT** · S0832 · [MITRE ATT&CK](https://attack.mitre.org/software/S0832) ## Descrição [[s0832-indigo-zebra-rat|Indigo Zebra RAT]] (também referênciado como IndigoZebra) é um RAT atribuído a um grupo de ameaça de língua chinesa com foco em alvos da Ásia Central - especialmente Afeganistão, Cazaquistão, Quirguistão e Uzbequistão. O malware foi identificado pela Check Point Research em 2021 em campanhas contra o escritório do Presidente do Afeganistão, usando spear-phishing com lures relativos ao escritório do Presidente da Rússia. Uma característica técnica notável é o uso do Dropbox como infraestrutura C2 - uma técnica que abusa de plataformas de cloud storage legítimas para comúnicações maliciosas, tornando o tráfego práticamente indistinguível de sincronização legítima do Dropbox. A arquitetura do Indigo Zebra RAT usa o Dropbox como "dead drop resolver" e canal de exfiltração: o malware cria uma pasta no Dropbox do operador para receber comandos (arquivos de texto com instruções) e envia resultados/dados exfiltrados de volta via upload para o mesmo Dropbox. Essa abordagem elimina a necessidade de infraestrutura C2 dedicada e usa TLS do Dropbox para criptografia de trânsito - tornando inspeção de certificados ineficaz. Adicionalmente, o malware pode exfiltrar dados para repositórios de código via técnicas similares. A seleção de alvos do IndigoZebra reflete interesse geopolítico em governos e entidades diplomáticas da Ásia Central - região de interesse estratégico para a China dado o contexto da Iniciativa do Cinturão e Rota (BRI) e questões de segurança fronteiriça. A sofisticação da técnica de C2 via Dropbox, combinada com lures de spear-phishing altamente direcionados, demonstra um ator com recursos e motivação de espionagem estatal. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1567-001-exfiltration-to-code-repository|T1567.001 - Exfiltration to Code Repository]] - [[t1102-001-dead-drop-resolver|T1102.001 - Dead Drop Resolver]] ## Detecção A detecção do Indigo Zebra RAT é desafiadora dado o uso do Dropbox como C2. Políticas de acesso ao Dropbox que restringem uso a usuários e dispositivos autorizados são uma mitigação preventiva. Monitoramento de processos não-relacionados ao cliente oficial do Dropbox que fazem conexões para a API do Dropbox é um indicador comportamental eficaz. Análise de volume e frequência de uploads para o Dropbox (especialmente durante horários não-comerciais) pode revelar exfiltração ativa. ## Relevância LATAM/Brasil Embora o IndigoZebra foque na Ásia Central, sua técnica de usar cloud storage (Dropbox) como C2 é amplamente relevante para o Brasil. Grupos de espionagem e crime cibernético que atacam o Brasil frequentemente usam serviços cloud legítimos (OneDrive, Google Drive, Dropbox) como canais C2 - uma tendência crescente que torna controles baseados em bloqueio de IP ineficazes. Organizações brasileiras devem implementar políticas de DLP que monitorem uploads para serviços cloud não gerenciados. ## Referências - [MITRE ATT&CK - S0832](https://attack.mitre.org/software/S0832) - [Check Point Research - IndigoZebra](https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/)