# RIPTIDE > Tipo: **malware** · S0003 · [MITRE ATT&CK](https://attack.mitre.org/software/S0003) ## Descrição [[s0003-riptide|RIPTIDE]] é um backdoor com suporte a proxy utilizado pelo [[g0005-apt12|APT12]] (IXESHE, DynCalc), grupo de espionagem cibernética com nexo à China que tem como foco organizações de mídia, governo e alta tecnologia. O RIPTIDE foi identificado em campanhas do [[g0005-apt12|APT12]] direcionadas a organizações de mídia jáponesas e governamentais de países asiáticos. O RIPTIDE é um backdoor relativamente simples que usa protocolos web padrão ([[t1071-001-web-protocols|T1071.001]]) para comunicação C2, com criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) para proteger o canal de comunicação. Seu suporte a proxy permite que opere em ambientes onde o acesso direto à internet é restrito, roteando comúnicações através de proxies intermediários. A natureza simples e direta do RIPTIDE contrasta com ferramentas mais complexas do [[g0005-apt12|APT12]], como o HIGHTIDE e o THREEBYTE, sugerindo seu uso em fases específicas de operações mais amplas. O [[g0005-apt12|APT12]] utilizou o RIPTIDE em conjunto com outros implants como parte de campanhas de espionagem de longo prazo, frequentemente introduzindo-o como backdoor secundário após estabelecer acesso inicial via outros meios. A combinação de comunicação via HTTP com criptografia personalizada é uma abordagem eficaz para misturar tráfego malicioso com comúnicações web legítimas em ambientes corporativos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] ## Grupos que Usam - [[g0005-apt12|APT12]] ## Referências - [MITRE ATT&CK - S0003](https://attack.mitre.org/software/S0003)