# Sykipot > [!high] Malware chinês especializado em sequestro de smart cards de autenticação do DoD americano > Sykipot é um backdoor com espionagem ativo desde 2006, notório por uma variante capaz de sequestrar smart cards do Departamento de Defesa dos EUA para acessar recursos protegidos por autenticação de dois fatores. Operado por grupo chinês com foco em setores de defesa e aeroespacial norte-americanos. ## Visão Geral Sykipot é um backdoor utilizado em campanhas de spear-phishing contra alvos principalmente nos Estados Unidos desde aproximadamente 2006, com foco nos setores de defesa, aeroespacial e governo. O grupo operador do Sykipot, referênciado pelo mesmo nome, utilizou múltiplas zero-days ao longo das campanhas - incluindo exploits em Adobe Reader e Internet Explorer - demonstrando recursos significativos de desenvolvimento de exploits ou acesso a mercado de zero-days. A funcionalidade mais notória do Sykipot é uma variante identificada em 2011 capaz de realizar ataque de proxy de smart card ([[t1111-multi-factor-authentication-interception|T1111]]). Esta variante visa específicamente os Common Access Cards (CAC) do Departamento de Defesa dos EUA - cartões inteligentes de autenticação física usados por militares ativos, reservistas, civis e contratantes do DoD. O ataque funciona capturando o PIN do smart card via keylogger quando o usuário o digita, e depois utilizando o cartão fisicamente presente no leitor para se autenticar automaticamente em recursos de rede protegidos - sem que o usuário perceba. A sofisticação deste vetor de ataque reside em explorar a suposição fundamental do modelo de autenticação com smart card: o cartão físico + o PIN deveriam garantir que apenas o portador legítimo pudesse acessar recursos protegidos. O Sykipot demonstrou que, com acesso ao sistema do usuário e presença física do cartão no leitor, essa premissa é falsa. Servidores C2 do Sykipot foram consistentemente rastreados para infraestrutura na China, e a análise de AlienVault identificou código em caracteres chineses nas amostras. A comunicação C2 usa SSL com criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) para proteger o tráfego. ## Como Funciona ```mermaid graph TB A["📧 Spearphishing<br/>PDF Adobe zero-day / IE exploit"] --> B["🔒 Instalação Sykipot<br/>Persistência via Registry Run"] B --> C["🔍 Reconhecimento<br/>Contas, rede, processos, serviços"] C --> D["⌨️ Keylogger ativo<br/>Captura PIN do smart card"] D --> E["💳 Smart card inserido<br/>Usuário se autentica"] E --> F["🎭 Proxy de autenticação<br/>Malware usa cartão como usuário"] F --> G["🔓 Acesso a recursos DoD<br/>Protegidos por 2FA - bypassado"] ``` ## Capacidades por Versão | Versão | Capacidades Principais | |--------|----------------------| | **Básica (2006+)** | Backdoor, keylogging, reconnaissance, download de payloads | | **Avançada (2011+)** | + Proxy de smart card CAC/PIV, interceptação de MFA | **Técnicas de reconhecimento:** - Listagem de contas de domínio ([[t1087-002-domain-account|T1087.002]]) via `net group "domain admins" /domain` - Discovery de sistemas remotos ([[t1018-remote-system-discovery|T1018]]) - Conexões de rede ativas ([[t1049-system-network-connections-discovery|T1049]]) - Configurações de rede ([[t1016-system-network-configuration-discovery|T1016]]) - Processos e serviços em execução ([[t1057-process-discovery|T1057]], [[t1007-system-service-discovery|T1007]]) ## Detecção e Defesa **Detecção do proxy de smart card:** - Monitorar chamadas à API `SCardTransmit` por processos que não sejam aplicações de autenticação legítimas - Alertar para acesso ao Windows Certificate Store por processos em background sem interface de usuário - Analisar autenticações em recursos de rede que ocorrem sem ação do usuário enquanto sessão está ativa **Defesas adicionais contra bypass de MFA por smart card:** - Implementar smart card reader com teclado PIN físico integrado (PIN entra diretamente no card, não via SO) - Usar autenticação contextual baseada em comportamento além do cartão+PIN - Monitorar acessos a recursos protegidos em horários e locais atípicos para o usuário ## Relevância LATAM/Brasil No Brasil, smart cards são usados em contextos similares aos do DoD americano: a Marinha, Exército e Aeronáutica utilizam cartões funcionais de identificação para acesso a sistemas militares. O Certificado Digital ICP-Brasil (usado para assinatura eletrônica de documentos jurídicos e tributários) é distribuído em tokens USB e smart cards - um vetor potencial de ataque similar ao demonstrado pelo Sykipot contra entidades corporativas e governamentais brasileiras que dependem de certificados digitais para operações críticas. ## Referências - [MITRE ATT&CK - S0018](https://attack.mitre.org/software/S0018) - [AlienVault - Sykipot Variant Hijacks DoD Smart Cards](https://cybersecurity.att.com/blogs/labs-research/sykipot-variant-hijacks-dod-and-windows-smart-cards) - 2012 - [Smart Card Alliance - Sykipot Trojan Statement](https://www.access-smart.com/wp-content/uploads/2012/01/Sykipot_trojan_statement_012412.pdf) - 2012