# Lurid > Tipo: **malware** · S0010 · [MITRE ATT&CK](https://attack.mitre.org/software/S0010) ## Descrição [[s0010-lurid|Lurid]] (também conhecido como Enfal) é uma família de malware associada a operações de espionagem cibernética atribuídas a atores com nexo chinês, incluindo o [[g0011-pittytiger|PittyTiger]]. O Lurid foi documentado em ataques contra organismos governamentais, organizações diplomáticas e empresas de energia em múltiplos países desde pelo menos 2006. O grupo PittyTiger conduziu campanhas com o Lurid contra alvos na Europa, incluindo a França, Alemanha e organizações internacionais, com foco em coleta de inteligência de longo prazo. O Lurid utiliza criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) para proteger as comúnicações com seus servidores C2, tornando o tráfego malicioso difícil de identificar por inspeção de conteúdo de rede. Os dados coletados das vítimas são arquivados antes da exfiltração ([[t1560-archive-collected-data|T1560]]), reduzindo o volume de transferências necessárias e o risco de detecção por anomalias de tráfego. A família Lurid demonstra longevidade notável - com mais de uma década de uso documentado - indicando manutenção ativa pelo ator operador. A campanha Lurid de 2011, documentada pela Trend Micro, comprometeu mais de 1.465 computadores em 61 países, incluindo organismos governamentais, entidades diplomáticas e organizações de pesquisa. Esta escala de comprometimento reflete a capacidade do [[g0011-pittytiger|PittyTiger]] de operar campanhas de espionagem globais e de longa duração. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] ## Grupos que Usam - [[g0011-pittytiger|PittyTiger]] ## Detecção - **[[ds-0029-network-traffic|Network Traffic Content]]** - Monitorar tráfego de saída com criptografia simétrica não padronizada para destinos externos - o Lurid usa cifras proprietárias para proteger comúnicações C2 que podem ser identificadas por padrões de entropia. - **[[ds-0022-file|File Creation]]** - Detectar criação de arquivos compactados contendo dados do sistema em caminhos temporários por processos não interativos - padrão de staging de exfiltração do Lurid. - **[[ds-0009-process|Process Creation]]** - Alertar para processos com comportamento de beacon - conexões de rede regulares a intervalos fixos - característico da família Lurid para polling de C2. ```sigma title: Lurid Malware C2 Beaconing Pattern status: experimental logsource: category: network_connection product: windows detection: selection: Initiated: 'true' timeframe: 1h condition: selection | count(DestinationIp) by Image < 3 falsepositives: - Applications with single-endpoint communication patterns level: low tags: - attack.command-and-control - attack.t1573.001 - code/distill ``` ## Relevância LATAM/Brasil O Lurid (Enfal) e o grupo [[g0011-pittytiger|PittyTiger]], embora focados historicamente em alvos europeus e do Oriente Médio, representam a categoria de espionagem chinesa de longa duração que se expande conforme os interesses geopolíticos da China crescem. O Brasil, como maior economia da América Latina e parceiro comercial estratégico da China, possui crescente relevância para atores de espionagem estatais chineses interessados em inteligência econômica e política. ## Referências - [MITRE ATT&CK - S0010](https://attack.mitre.org/software/S0010)