s1031-pingpull - RunkIntel

# PingPull > Tipo: **malware** · S1031 · [MITRE ATT&CK](https://attack.mitre.org/software/S1031) ## Descrição [[s1031-pingpull|PingPull]] é um Trojan de acesso remoto (RAT) escrito em Visual C++ utilizado pelo [[g0093-gallium|GALLIUM]] desde pelo menos junho de 2022. O PingPull foi empregado em ataques contra empresas de telecomúnicações, instituições financeiras e entidades governamentais no Afeganistão, Austrália, Bélgica, Cambojá, Malásia, Moçambique, Filipinas, Rússia e Vietnã. Uma característica distintiva do PingPull é sua capacidade de operar em três variantes de protocolo - ICMP, HTTP e TCP - permitindo que os operadores escolham o canal C2 mais adequado para evasão de detecção em cada ambiente-alvo. A variante ICMP é particularmente eficaz pois a maioria das soluções de segurança não inspeciona o payload de pacotes ICMP, tornando o canal C2 quase invisível para ferramentas tradicionais de monitoramento de rede. O malware usa criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) e mascaramento de serviço ([[t1036-004-masquerade-task-or-service|T1036.004]]) para garantir persistência e dificultar análise forense. O [[g0093-gallium|GALLIUM]], também rastreado como Granite Typhoon pela Microsoft, é um grupo APT alinhado à China com foco histórico em telecomúnicações globais e, mais recentemente, em organizações governamentais e financeiras. O PingPull integra um arsenal moderno que inclui também o [[s0013-plugx|PlugX]], ferramentas de pós-exploração como SoftEther VPN e utilitários de movimentação lateral adaptados a cada ambiente comprometido. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] ## Grupos que Usam - [[g0093-gallium|GALLIUM]] ## Detecção **Fontes de dados recomendadas:** - **Rede (ICMP):** Inspeção profunda de pacotes ICMP Echo Reply com payload superior a 64 bytes - a variante ICMP do PingPull tunela comandos C2 em campos de dados ICMP normalmente ignorados - **Sysmon Event ID 1 (ProcessCreaté):** Criação de serviço Windows com nome mascarando serviços legítimos; monitorar processos filhos de `services.exe` com caminhos incomuns - **Sysmon Event ID 3 (NetworkConnect):** Conexões de saída originadas de processos de serviço Windows para IPs externos em portas não-padrão **Regras de detecção:** - Sigma: Detecção de serviço Windows mascarando nome legítimo com caminho de executável em diretórios de usuário (`C:\Users\`, `C:\ProgramData\`) - Suricata/Snort: Detecção de payload ICMP > 64 bytes com estrutura de dados codificados em Base64 - indicativo da variante ICMP do PingPull - YARA: Strings internas do PingPull - cabeçalhos de protocolo customizados e constantes de criptografia RC4 identificadas pela Palo Alto Unit 42 (2022) ## Relevância LATAM/Brasil O [[g0093-gallium|GALLIUM]] tem histórico documentado de operações contra telecomúnicações e entidades governamentais em múltiplos continentes. O Brasil, como maior economia da América Latina com extensas redes de telecomúnicações e relações diplomáticas com a China, representa um alvo potencial de interesse geopolítico. Campanhas documentadas do GALLIUM comprometeram operadoras em Moçambique e Filipinas - padrão que pode se replicar em países africanos lusófonos e na própria América do Sul. A presença em Moçambique, país com vínculos históricos com o Brasil, sugere que infraestrutura C2 sobreposta pode atingir organizações LATAM. ## Referências - [MITRE ATT&CK - S1031](https://attack.mitre.org/software/S1031) - [Palo Alto Unit 42 - PingPull: New Malicious Tool of GALLIUM Threat Actor](https://unit42.paloaltonetworks.com/pingpull-gallium/) - Junho 2022