s1028-action-rat - RunkIntel

# Action RAT > Tipo: **malware** · S1028 · [MITRE ATT&CK](https://attack.mitre.org/software/S1028) ## Descrição [[s1028-action-rat|Action RAT]] é uma ferramenta de acesso remoto (RAT) escrita em Delphi que tem sido utilizada pelo [[g1008-sidecopy|SideCopy]] desde pelo menos dezembro de 2021 em campanhas de espionagem contra funcionários do governo indiano e afegão. O [[g1008-sidecopy|SideCopy]] é um grupo APT suspeito de operar a partir do Paquistão, com táticas que imitam o Sidewinder APT indiano para dificultar a atribuição. O Action RAT representa uma das ferramentas de segunda fase usadas pelo grupo após comprometimento inicial. O malware realiza extensa descoberta do sistema comprometido, incluindo configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]), informações do SO ([[t1082-system-information-discovery|T1082]]), arquivos e diretórios ([[t1083-file-and-directory-discovery|T1083]]), usuário atual ([[t1033-system-owneruser-discovery|T1033]]) e softwares de segurança instalados ([[t1518-001-security-software-discovery|T1518.001]]). A comunicação C2 ocorre via [[t1071-001-web-protocols|HTTP]] e o código é ofuscado ([[t1027-obfuscated-files-or-information|T1027]]) e decodificado em tempo de execução ([[t1140-deobfuscatedecode-files-or-information|T1140]]) para evasão. O Action RAT também utiliza [[t1047-windows-management-instrumentation|WMI]] para execução e coleta de dados locais ([[t1005-data-from-local-system|T1005]]). Em campanhas documentadas em 2022, o [[g1008-sidecopy|SideCopy]] distribuiu o Action RAT via anexos de spearphishing temáticos de defesa indiana, explorando interesse em documentos militares ou diplomáticos para induzir a execução. Arquivos de isca (decoy documents) eram abertos simultaneamente para distrair a vítima enquanto o RAT era implantado em background. A ferramenta permite exfiltração de arquivos de interesse por demanda do operador via canal C2. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Grupos que Usam - [[g1008-sidecopy|SideCopy]] ## Detecção - **Sysmon Event ID 1** (Process Creation): monitorar execução de binários Delphi com comportamento de descoberta (invocação de `ipconfig`, `systeminfo`, `tasklist`, `dir`) logo após abertura de documento Office ou PDF. - **Sysmon Event ID 3** (Network Connection): alertar sobre conexões HTTP de processos suspeitos com beaconing periódico para domínios recém-registrados ou com histórico de TTL curto. - **EDR telemetria**: detectar uso de WMI (`wmic.exe` ou WMI via código) por processos que também fazem conexões de rede - combinação típica de RATs modernos. - **Referência Sigma**: `proc_creation_win_wmic_recon.yml` - detecção de reconhecimento via WMI, comportamento central do Action RAT. ## Relevância LATAM/Brasil O [[g1008-sidecopy|SideCopy]] opera com foco geopolítico em alvos do governo indiano, afegão e de nações aliadas. Não há registros de campanhas deste grupo direcionadas ao Brasil ou à América Latina. O Action RAT tem relevância analítica para equipes de CTI brasileiras como referência de RATs escritos em Delphi - linguagem também comum em malware financeiro brasileiro - , e pode ser adaptado por outros atores para campanhas regionais. ## Referências - [MITRE ATT&CK - S1028](https://attack.mitre.org/software/S1028)