# IPsec Helper > Tipo: **malware** · S1132 · [MITRE ATT&CK](https://attack.mitre.org/software/S1132) ## Descrição [[s1132-ipsec-helper|IPsec Helper]] é uma ferramenta de acesso remoto (RAT) de pós-exploração vinculada a operações do grupo iraniano [[g1030-agrius|Agrius]], ativo principalmente contra alvos israelenses e do Oriente Médio desde pelo menos 2020. O malware compartilha sobreposições significativas de código-fonte e funcionalidade com o ransomware [[apóstle|Apóstle]], também atribuído ao [[g1030-agrius|Agrius]], sugerindo uma base de desenvolvimento compartilhada dentro do grupo, possívelmente reutilizando componentes de acesso remoto entre suas ferramentas destrutivas e de espionagem. As funcionalidades principais do [[s1132-ipsec-helper|IPsec Helper]] incluem upload e download de arquivos dos sistemas comprometidos, execução arbitrária de comandos via PowerShell ([[t1059-001-powershell|T1059.001]]) e Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]), além da capacidade de implantar payloads adicionais para escalonamento de privilégios ou movimentação lateral. O malware utiliza verificações baseadas em tempo ([[t1497-003-time-based-checks|T1497.003]]) para detectar ambientes de análise e emprega arquivos criptografados/codificados ([[t1027-013-encryptedencoded-file|T1027.013]]) para ocultar seus componentes. A comunicação C2 ocorre via protocolos web ([[t1071-001-web-protocols|T1071.001]]), com exfiltração de dados pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O [[s1132-ipsec-helper|IPsec Helper]] é instalado como serviço Windows ([[t1569-002-service-execution|T1569.002]]) para garantir persistência e remove rastros ativamente após a execução, incluindo a limpeza de entradas de persistência no registro ([[t1070-009-clear-persistence|T1070.009]]). A descoberta de processos em execução ([[t1057-process-discovery|T1057]]) e modificação do registro ([[t1112-modify-registry|T1112]]) complementam seu conjunto de capacidades de reconhecimento interno, tornando-o uma ferramenta abrangente de espionagem e preparação para ataques destrutivos subsequentes. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1070-indicator-removal|T1070 - Indicator Removal]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1070-009-clear-persistence|T1070.009 - Clear Persistence]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] ## Grupos que Usam - [[g1030-agrius|Agrius]] ## Detecção A detecção do [[s1132-ipsec-helper|IPsec Helper]] concentra-se na identificação de comportamentos anômalos de serviços Windows e padrões de comunicação C2. Indicadores-chave incluem: criação de novos serviços Windows com nomes que imitam componentes legítimos como "IPsec" ou serviços de rede; execução de PowerShell e cmd.exe iniciada por serviços não-interativos; modificação do registro ([[t1112-modify-registry|T1112]]) por processos de serviço; e comunicação HTTP/HTTPS para domínios ou IPs com baixa reputação. Verificações de tempo ([[t1497-003-time-based-checks|T1497.003]]) indicam comportamento evasivo que pode ser detectado por sandboxes com manipulação de tempo de sistema. O monitoramento de transferências laterais de arquivos via compartilhamentos de rede ([[t1570-lateral-tool-transfer|T1570]]) e processos que enumeram processos ativos ([[t1057-process-discovery|T1057]]) fora do contexto de ferramentas administrativas legítimas são sinais de alerta adicionais. A remoção de entradas de persistência após execução ([[t1070-009-clear-persistence|T1070.009]]) e deleção de arquivos ([[t1070-004-file-deletion|T1070.004]]) podem indicar estágios de limpeza pós-exfiltração. ## Relevância LATAM/Brasil O [[s1132-ipsec-helper|IPsec Helper]] é operado pelo [[g1030-agrius|Agrius]], grupo iraniano cujo foco principal são alvos israelenses e do Oriente Médio. Campanhas direcionadas à América Latina ou ao Brasil por este grupo não foram documentadas públicamente. Contudo, a relevância regional está na possibilidade de comprometimento de organizações latino-americanas que fazem negócios ou mantêm parcerias com empresas israelenses - potencialmente como vetor de acesso indireto aos alvos primários do [[g1030-agrius|Agrius]]. Empresas de tecnologia, startups e multinacionais com operações em Israel devem incluir este ator em suas análises de risco de cadeia de suprimentos. ## Referências - [MITRE ATT&CK - S1132](https://attack.mitre.org/software/S1132)