s0063-shotput - RunkIntel

# SHOTPUT > Tipo: **malware** · S0063 · [MITRE ATT&CK](https://attack.mitre.org/software/S0063) ## Descrição [[s0063-shotput|SHOTPUT]] (também conhecido como Backdoor.APT.CookieCutter ou Pirpi) é um backdoor personalizado utilizado pelo [[g0022-apt3|APT3]] - grupo de espionagem cibernética atribuído ao Ministério de Segurança do Estado da China (MSS), particularmente à unidade de Guangzhou. O [[g0022-apt3|APT3]] foi responsável por campanhas de exploit de zero-days notórias, incluindo uso de vulnerabilidades em Flash Player e Internet Explorer, e tem alvos documentados em governos, indústria aeroespacial e de defesa, telecomúnicações e alta tecnologia nos EUA e aliados ocidentais. O [[s0063-shotput|SHOTPUT]] serve como backdoor de reconhecimento inicial - após o comprometimento via exploit de zero-day ou spear-phishing, o malware realiza uma varredura extensiva do ambiente comprometido: enumera processos em execução ([[t1057-process-discovery|T1057]]), contas locais ([[t1087-001-local-account|T1087.001]]), sistemas na rede ([[t1018-remote-system-discovery|T1018]]) e conexões de rede ativas ([[t1049-system-network-connections-discovery|T1049]]). Essas informações são críticas para os operadores do [[g0022-apt3|APT3]] para avaliar o valor do alvo e planejar as próximas etapas da intrusão. O uso de obfuscação ([[t1027-obfuscated-files-or-information|T1027]]) protege o binário de análise estática. O [[g0022-apt3|APT3]] foi um dos primeiros grupos APT a usar exploits de zero-day em Firefox como vetor de entrega - o Shotput era frequentemente o payload inicial dessas campanhas. O grupo foi alvo de acusação formal pelo Departamento de Justiça dos EUA em 2014 (Operação SMB) - um marco na atribuição pública de espionagem cibernética patrocinada por estado. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] ## Grupos que Usam - [[g0022-apt3|APT3]] ## Detecção - Monitorar enumeração extensiva de contas, processos e sistemas de rede em sequência rápida por um único processo - Detectar execução de binários com alto grau de obfuscação (análise de entropia, seções PE anômalas) - Alertar sobre descoberta de sistemas remotos via `net view`, `arp -a` ou equivalentes por processos não administrativos - Implementar threat hunting baseado em sequências de discovery conhecidas: processo → conta → rede → sistema - Manter inventário atualizado de sistemas na rede para identificar rapidamente novos hosts descobertos por malware ## Relevância LATAM/Brasil O [[g0022-apt3|APT3]] e grupos similares com objetivos de espionagem industrial e governamental são uma ameaça concreta para o Brasil em setores como aeronáutica (Embraer), tecnologia (CPqD, SERPRO) e defesa. A técnica de reconnaissance extensivo do [[s0063-shotput|SHOTPUT]] antes de implantar ferramentas mais pesadas é um padrão que equipes de threat hunting brasileiras devem reconhecer como indicador precoce de comprometimento avançado em curso, ainda na fase inicial antes do pior impacto operacional. ## Referências - [MITRE ATT&CK - S0063](https://attack.mitre.org/software/S0063)