s0055-rarstone - RunkIntel

# RARSTONE > Tipo: **malware** · S0055 · [MITRE ATT&CK](https://attack.mitre.org/software/S0055) ## Descrição [[s0055-rarstone|RARSTONE]] é um malware de espionagem utilizado pelo grupo [[g0019-naikon|Naikon]] (APT30), com algumas características técnicas semelhantes ao [[s0013-plugx|PlugX]], outro backdoor amplamente utilizado por grupos APT de nexo chinês. A semelhança com o PlugX sugere possível compartilhamento de código ou de ferramentas entre grupos APT operando na mesma região. O RARSTONE utiliza injeção de DLL dinâmica ([[t1055-001-dynamic-link-library-injection|T1055.001]]) para inserir código malicioso em processos legítimos do Windows, tornando sua presença mais difícil de detectar. A comunicação com o servidor C2 ocorre via protocolo não-padrão de camada de aplicação ([[t1095-non-application-layer-protocol|T1095]]), que pode ser confundido com tráfego legítimo em inspeções superficiais. O malware realiza enumeração de arquivos e diretórios ([[t1083-file-and-directory-discovery|T1083]]) e suporta download de ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]) para expandir capacidades pós-comprometimento. O [[g0019-naikon|Naikon]] utilizou o RARSTONE como parte de campanhas de espionagem de longo prazo contra governos de países membros da ASEAN, buscando obter informações geopolíticas e militares sensíveis. A semelhança com o PlugX e o compartilhamento de infraestrutura entre múltiplos grupos APT chineses dificulta a atribuição precisa de ataques individuais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0019-naikon|Naikon]] ## Detecção A detecção do RARSTONE deve focar em injeção de código em processos legítimos do Windows ([[t1055-001-dynamic-link-library-injection|T1055.001]]) - análise de módulos carregados em processos como `svchost.exe` ou `explorer.exe` pode revelar DLLs não assinadas ou suspeitas. Tráfego de rede usando protocolos não-padrão em portas incomuns é outro indicador. Soluções de análise de memória e EDR com capacidade de detecção de injeção de processo são as mais eficazes. ## Relevância LATAM/Brasil O [[g0019-naikon|Naikon]] opera focado na Ásia-Pacífico, mas as TTPs do RARSTONE - especialmente DLL injection e C2 via protocolo não-padrão - são adotadas por grupos que operam na América Latina. O Brasil, como maior economia da região com relações diplomáticas extensas na Ásia, pode ser alvo colateral de operações de espionagem que atingem parceiros comerciais e diplomáticos asiáticos. Embora o impacto direto do RARSTONE no LATAM sejá limitado, suas técnicas servem como referência para modelagem de ameaças de APTs de estado-nação na região. ## Referências - [MITRE ATT&CK - S0055](https://attack.mitre.org/software/S0055)