xworm - RunkIntel

# XWorm RAT > [!danger] RAT Commodity de Alta Prevalencia com Foco Documentado no Brasil > XWorm e um dos RATs de commodity mais ativos em 2024-2025, com campanhas documentadas específicamente contra empresas brasileiras usando lures de comprovante bancario (Banco Bradesco, Mercado Pago). O grupo [[ta558|TA558]] (RevengeHotels) usa XWorm em campanhas LATAM, enquanto o APT norte-coreano [[g0094-kimsuky|Kimsuky]] adotou XWorm em campanhas de espionagem com PowerShell fileless. Em uma única campanha de builder comprometido, 18.459 dispositivos globais foram infectados - demonstrando o potencial de escala desta familia. ## Visão Geral [[xworm|XWorm RAT]] surgiu em mid-2022 como RAT comercial em marketplaces dark web, evoluindo rapidamente para o status de uma das familias mais ativas em telemetria global. A versao mais recente documentada e XWorm 6.0 (mid-2025), atribuida ao ator "EvilCoder". O malware combina facilidade de uso para operadores iniciantes com flexibilidade e confiabilidade suficientes para grupos APT - o [[g0094-kimsuky|Kimsuky]] (Norte Coreia) o adotou em campanhas de espionagem em 2025, e o [[ta558|TA558]] o usa regularmente em campanhas LATAM. Estudos de Cofense e Logpoint identificam 5.523 IoCs ligados ao XWorm, com 78% das campanhas entregando outro malware junto - em 60%+ dos casos outro RAT. O grupo [[nullbulge|NullBulge]] usou XWorm para eventualmente implantar [[lockbit-ransomware|LockBit]], demonstrando que XWorm serve tanto como payload final quanto como vetor de acesso inicial para ataques mais destrutivos. No Brasil específicamente, a ANY.RUN documentou campanha usando "Comprovante-Bradesco" como lure, com cadeia de infecção que usa esteganografia em imagem Cloudinary, reflection loading e módulo de persistência .NET que evita criação de tarefas via linha de comando (para evadir monitoramento de schtasks). | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) modular / MaaS | | **Linguagem** | C# (.NET) | | **Primeira versao** | Mid-2022 | | **Versao atual** | XWorm 6.0 (mid-2025) | | **Status** | Ativo - crescimento continuo | | **Plataformas** | Windows | | **Protocolo C2** | AES-ECB criptografado, delimiter `<Xwormmm>` | | **Artefato** | String `<Xwormmm>` em trafego de rede e config | ## Como Funciona **Campanha brasileira com lure bancario:** A cadeia documentada pela ANY.RUN contra o Brasil usa arquivo WSF (Windows Script File) com dupla extensao mascarada como comprovante Bradesco. O JavaScript interno usa Únicode homoglyphs, emojis e delimitadores para ocultar código Base64 - ofuscacao que burla AMSI heuristico. Ao executar, WMI spawna PowerShell com jánela oculta e delay curto para evadir sandbox. **Esteganografia em Cloudinary:** O segundo estagio baixa uma imagem de CDN Cloudinary - o trafego parece download normal de imagem. O payload .NET real esta embutido entre marcadores customizados na imagem, extraido e carregado diretamente em memoria via reflection. Nunca toca o disco - reducao de superficie de detecção. **Módulo de persistência via COM de Task Scheduler:** Em vez de usar `schtasks.exe` (monitorado por EDRs), o componente VB.NET usa COM interfaces do Task Scheduler diretamente via código, criando tarefas sem executar `schtasks.exe`. Esta técnica produz entradas de persistência sem os traces de linha de comando tipicos, reduzindo visibilidade para equipes SOC. **LOLBAS para processo host:** O payload final e injetado em `CasPol.exe` (ferramenta .NET legitima da Microsoft para gestao de politicas de code access security) - processo raro em ambientes normais, mas confiavel pelo Windows, permitindo comunicação C2 sem acionar alertas de processo suspeito. **Cifra AES-ECB com delimiter:** O protocolo C2 usa AES-ECB (modo vulnerável a análise, mas funcional para C2) com o delimiter `<Xwormmm>` como separador de pacotes - fingerprint de alta fidelidade em capturas de rede. A chave padrao do XWorm 6.0 mudou em relacao a versoes anteriores. **Plugins modulares via registry:** Plugins sao carregados diretamente de entradas do Windows Registry - sem arquivo em disco. Módulos incluem: ransomware (AES-CBC, extensao .Xworm), HVNC, reverse proxy via Cloudflare TryCloudflare Tunnels e módulo de roubo de credenciais. ## Attack Flow ```mermaid graph TB A["📧 Phishing Bancario BR Comprovante-Bradesco.wsf Únicode ofuscação AMSI bypass"] --> B["🌐 Esteganografia Cloudinary Imagem com payload embutido Reflection loading sem disco"] B --> C["🔧 Persistência COM Task Scheduler via COM Sem schtasks.exe detectavel"] C --> D["💉 CasPol.exe Injection LOLBAS .NET tool T1218 proxy exec confiavel"] D --> E["📡 C2 AES-ECB TCP Delimiter Xwormmm Cloudflare Tunnel opcional"] E --> F["🎯 Módulos Dinamicos Keylog HVNC ransomware Plugins do Registry sem disco"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef evasion fill:#f39c12,stroke:#d68910,color:#fff classDef persist fill:#3498db,stroke:#1a5276,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef collect fill:#27ae60,stroke:#1e8449,color:#fff class A delivery class B,C evasion class D persist class E c2 class F collect ``` ## Timeline de Evolução ```mermaid timeline title XWorm RAT - Evolução e Adocao por APTs 2022 : Lancamento em dark web marketplaces : Adocao rapida por operadores de todos os niveis 2023 : XWorm v4.x em campanhas globais de malspam : TA558 adota XWorm em campanhas LATAM 2024 : XWorm v5.6 - versao mais usada em telemetria : Kimsuky adota XWorm em campanha PowerShell fileless : NullBulge usa XWorm como vetor para LockBit ransomware 2024 : Builder comprometido infecta 18459 dispositivos globais : Pesquisadores ativam kill-switch no botnet 2025 : ANY.RUN documenta campanha vs Brasil com lure Bradesco : Cloudflare TryCloudflare Tunnels como C2 alternativo 2025 : XWorm 6.0 lancado - EvilCoder - plugins ILProtector : KPMG CTI documenta versao 6.0 com novas persistências ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | WSF mascarado como comprovante bancario ou PDF | | Execução | [[t1059-007-javascript\|T1059.007]] | JavaScript em arquivo WSF como dropper obfuscado | | Execução | [[t1059-001-powershell\|T1059.001]] | PowerShell com jánela oculta via WMI para download | | Execução | [[t1047-wmi\|T1047]] | WMI para spawn de PowerShell sem traces de shell | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Registry Run key e factory reset configuration | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task via COM interface (sem schtasks.exe) | | Evasão | [[t1027-010-command-obfuscation\|T1027.010]] | Únicode homoglyphs e emojis em JavaScript dropper | | Evasão | [[t1140-deobfuscate-decode-files\|T1140]] | Decode de payload esteganografico em imagem Cloudinary | | Evasão | [[t1620-reflective-code-loading\|T1620]] | Reflection loading de assembly .NET direto em memoria | | Evasão | [[t1218-system-binary-proxy-execution\|T1218]] | CasPol.exe como proxy para execução de payload | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta de OS, GPU, CPU e versao de drivers | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Harvest de credenciais de Chromium e Firefox | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging via módulo nativo | | Coleta | [[t1113-screen-capture\|T1113]] | Screenshots e HVNC covert desktop | | C2 | [[t1573-encrypted-channel\|T1573]] | AES-ECB com delimiter Xwormmm | ## Relevância LATAM/Brasil O XWorm e uma das ameaças de maior relevância documentada específicamente para o Brasil em 2025: - **Lures de comprovante bancario:** Campanhas documentadas pela ANY.RUN e Eventus Security usam específicamente "Comprovante-Bradesco" e "Mercado Pago" como temas - vetores extremamente eficazes no contexto brasileiro onde pagamentos via Pix e boleto geram alto volume de comprovantes. - **TA558 / RevengeHotels:** O [[ta558|TA558]], grupo com foco primario em Brasil e LATAM, distribui XWorm em campanhas contra hospitalidade, turismo e setor financeiro - 58% das campanas XWorm da Proofpoint atribuidas a TA558 envolvem alvos em portugues ou espanhol. - **Kimsuky e espionagem geopolitica:** O [[g0094-kimsuky|Kimsuky]] da Coreia do Norte usa XWorm em campanhas de espionagem PowerShell fileless. O Brasil, com posicoes diplomaticas e comerciais de interesse global, pode ser alvo perifericamente neste contexto. - **Escala de infecção:** Uma única campanha de builder comprometido infectou 18.459 dispositivos - a escala do XWorm permite que mesmo atores sem recursos expressivos atinjam ampla superfice de ataque no Brasil. ## Detecção e Defesa **Artefatos forenses primarios:** - **Delimiter `<Xwormmm>` em trafego de rede:** String única e de alta fidelidade presente em todas as versoes do XWorm - detectar em capturas de rede ou logs de proxy. - **`CasPol.exe` com conexoes de rede:** CasPol.exe nao deve iniciar conexoes TCP externas em ambientes normais - conexoes saindo deste processo indicam XWorm ou similar. - **Mutex derivado da config:** O valor do mutex e derivado da configuração do sample - varia por campanha, mas e capturado em sandbox para correlação. **Event IDs prioritarios:** - **Sysmon Event ID 3 (NetworkConnect):** `CasPol.exe` conectando a DDNS externo ou Cloudflare Tunnel - beaconing XWorm. - **Sysmon Event ID 1 (ProcessCreaté):** `wscript.exe` executando arquivo WSF com argumento suspeito de finance/payment. - **Sysmon Event ID 7 (ImageLoad):** Assembly .NET carregado em memoria sem arquivo correspondente no disco. - **Sysmon Event ID 17/18 (Pipe):** Named pipes usados para comunicação entre componentes XWorm. **Mitigacoes:** - Bloquear execução de arquivos WSF e HTA por clientes de e-mail via GPO. - Alertar sobre `CasPol.exe` iniciando conexoes de rede - anomalia critica. - Implementar detecção de reflection loading em EDR (assembly .NET sem arquivo no disco). - Filtrar downloads de Cloudflare TryCloudflare tunnels (*.trycloudflare.com) se nao usados pela organização. ## Referências - [1](https://any.run/cybersecurity-blog/xworm-latam-campaign/) ANY.RUN - How XWorm Targets LATAM Businesses (2026) - [2](https://advisory.eventussecurity.com/advisory/xworm-rat-delivered-via-fake-financial-receipts/) Eventus Security - XWorm RAT via Fake Financial Receipts (2026) - [3](https://logpoint.com/en/blog/xworm-rat-analysis-steal-persist-control) Logpoint - XWorm RAT Analysis: Steal, Persist and Control (2025) - [4](https://cybanetix.com/wp-content/uploads/2025/11/XWORM-Malware-Analysis-Report-1.pdf) Cybanetix - XWorm RAT Technical Analysis 2024-2025 Variant - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.xworm) Malpedia - XWorm malware family - [6](https://cyberpress.org/kimsuky-apt-group-uses-powershell/) CyberPress - Kimsuky APT Group Uses PowerShell to Deploy XWorm (2025)