# BS2005 > Tipo: **malware** · S0014 · [MITRE ATT&CK](https://attack.mitre.org/software/S0014) ## Descrição [[s0014-bs2005|BS2005]] é um malware utilizado pelo [[g0004-apt15|Ke3chang]] em campanhas de spearphishing direcionadas desde pelo menos 2011. O [[g0004-apt15|Ke3chang]] é um grupo de ameaça China-nexus com histórico de operações de espionagem contra alvos governamentais e diplomáticos, e o BS2005 representa uma das ferramentas mais antigas do seu arsenal, empregada em estágios iniciais de comprometimento. O malware comúnica-se com servidores de comando e controle utilizando codificação padrão ([[t1132-001-standard-encoding|T1132.001]]) para ofuscar o tráfego de rede e dificultar detecções baseadas em assinatura. Sua operação em plataformas Windows e seu foco em spearphishing sugerem que alvos de alto valor - como embaixadas, ministérios e organizações intergovernamentais - foram os principais alvos das campanhas onde o BS2005 foi empregado. Por ser uma ferramenta de longa data dentro do ecossistema do [[g0004-apt15|Ke3chang]], o BS2005 pode ter sido utilizado em conjunto com outros implants do grupo, como o [[mirage|Mirage]] e o [[s0439-okrum|Okrum]], formando um arsenal integrado de espionagem de longo prazo. ## Detecção - **Monitoramento de rede**: Inspecionar tráfego HTTP/HTTPS com encoding não-padrão ou cabeçalhos anomalamente codificados em Base64 - indicativo de [[t1132-001-standard-encoding|T1132.001]] - **Event ID 4688** (Windows): Criação de processos suspeitos iniciados por clientes de e-mail (Outlook, Thunderbird) - indicativo de abertura de anexo malicioso de spearphishing - **EDR telemetry**: Detectar processos filhos anômalos gerados por processos de leitura de documentos (.doc, .xls, .pdf) com conexões de rede imediatas - **Sigma rule**: `proc_creation_win_susp_office_child_process.yml` (regra SigmaHQ para processos suspeitos criados por aplicativos Office) cobre padrões típicos de spearphishing inicial ## Relevância LATAM/Brasil Embora o [[g0004-apt15|Ke3chang]] tenha historicamente focado em alvos europeus e asiáticos - especialmente diplomáticos e governamentais - , o crescente engajamento de países latino-americanos em fóruns internacionais e blocos econômicos como o BRICS torna organizações governamentais brasileiras e ministérios das relações exteriores alvos potencialmente relevantes para grupos de espionagem China-nexus. O vetor de spearphishing utilizado pelo BS2005 é amplamente replicado por outros grupos ativos na região, tornando as detecções para este malware úteis como modelo para defesa contra campanhas similares no Brasil. ## Técnicas Utilizadas - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] ## Referências - [MITRE ATT&CK - S0014](https://attack.mitre.org/software/S0014)