# Hikit > Tipo: **malware** · S0009 · [MITRE ATT&CK](https://attack.mitre.org/software/S0009) ## Descrição [[s0009-hikit|Hikit]] é um backdoor avançado utilizado pelo grupo de espionagem chinês [[g0001-axiom|Axiom]] (também referênciado como APT17 ou DeputyDog) para manutenção de persistência em estágios tardios de intrusões prolongadas e para exfiltração de dados após o comprometimento inicial. Descoberto e analisado pela Mandiant em 2013, o Hikit representa um implante de segunda geração, implantado somente após o ator ter estabelecido acesso inicial e realizado reconhecimento interno - minimizando a exposição do malware mais sofisticado. A arquitetura do Hikit inclui funcionalidades de rootkit que ocultam sua presença no sistema, usando técnicas de DLL Search Order Hijacking para se injetar em processos legítimos do Windows. O malware instala um certificado raiz falso no armazenamento de certificados do sistema para garantir que comúnicações TLS com seu C2 sejam aceitas sem alertas. A comunicação C2 usa HTTP/S sobre a porta 443, tornando o tráfego práticamente indistinguível de comúnicações legítimas em ambientes com uso intensivo de HTTPS. O Hikit é notável por sua longevidade: o [[g0001-axiom|Axiom]] demonstrou capacidade de manter acesso por meses ou anos em ambientes comprometidos, usando o Hikit como implante de longo prazo após uma fase inicial de exploração mais barulhenta. A capacidade de usar proxy interno (chained proxies) permite ao operador alcançar sistemas isolados de internet direta dentro da rede comprometida. O malware foi identificado em campanhas contra empresas de tecnologia, defesa, governo e telecomúnicações nos EUA. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1566-phishing|T1566 - Phishing]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1553-006-code-signing-policy-modification|T1553.006 - Code Signing Policy Modification]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1553-004-install-root-certificate|T1553.004 - Install Root Certificaté]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0001-axiom|Axiom]] ## Detecção A detecção do Hikit é dificultada por suas técnicas de rootkit e uso de HTTPS. Monitoramento de carregamento de DLLs não-assinadas ou em locais incomuns por processos legítimos do Windows (DLL hijacking) é prioritário. Inspeção do armazenamento de certificados raiz do sistema por certificados não reconhecidos é um indicador de comprometimento específico. Análise de tráfego TLS com inspetores de SSL/TLS pode identificar certificados não-padrão. O uso de proxy encadeado pode ser detectado via análise de fluxos de rede internos que não se encaixam em padrões de tráfego normal entre segmentos da rede. ## Relevância LATAM/Brasil O [[g0001-axiom|Axiom]] opera principalmente contra alvos norte-americanos e europeus, mas as técnicas de espionagem de longo prazo do Hikit são diretamente relevantes para empresas brasileiras no setor de tecnologia, defesa e telecomúnicações que mantêm propriedade intelectual valiosa ou contratos com governo. Grupos de espionagem industrial com nexo chinês que operam no Brasil usam técnicas similares de DLL hijacking e instalação de certificados raiz falsos. Auditorias periódicas do armazenamento de certificados e monitoramento de DLL loading são controles essenciais. ## Referências - [MITRE ATT&CK - S0009](https://attack.mitre.org/software/S0009) - [Mandiant - APT17: Hiding in Plain Sight](https://www.mandiant.com/resources/blog/apt17-hiding-in-plain-sight)