# pngdowner > Tipo: **malware** · S0067 · [MITRE ATT&CK](https://attack.mitre.org/software/S0067) ## Descrição [[s0067-pngdowner|pngdowner]] é um malware minimalista utilizado pelo [[g0024-putter-panda|Putter Panda]], um grupo APT alinhado à China (também identificado como APT2 ou MSUpdater). A ferramenta é descrita pelo MITRE como utilitário básico de "download e execução" - sem mecanismo de persistência próprio e com funcionalidade deliberadamente limitada, o que sugere seu uso como componente de entrega de segundo estágio após comprometimento inicial por outro vetor. O nome "pngdowner" deriva do fato de que a ferramenta disfarça o conteúdo baixado como arquivos PNG, explorando a aparência inócua de arquivos de imagem para contornar inspeção de conteúdo por proxies e firewalls. Após o download, o malware executa o payload real e realiza limpeza de arquivos ([[t1070-004-file-deletion|T1070.004]]) para remover rastros. O pngdowner também varre arquivos locais em busca de credenciais armazenadas em arquivos de texto simples ([[t1552-001-credentials-in-files|T1552.001]]), repassando-as ao operador via HTTP ([[t1071-001-web-protocols|T1071.001]]). O [[g0024-putter-panda|Putter Panda]] foi exposto em um acusação (indictment) do Departamento de Justiça dos EUA em 2014 contra cinco membros da Unidade 61398 do Exército Popular de Libertação da China (PLA), tornando-se um dos primeiros casos de atribuição pública formal de espionagem cibernética patrocinada por estado. O arsenal do grupo incluía também ferramentas como [[3102|3102]] e [[s0068-httpclient|HTTPClient]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] ## Grupos que Usam - [[g0024-putter-panda|Putter Panda]] ## Detecção **Fontes de dados recomendadas:** - **Proxy/Firewall logs:** Requisições HTTP GET para domínios externos com resposta contendo conteúdo binário mascarado como PNG (magic bytes incorretos para o Content-Type declarado) - **Sysmon Event ID 11 (FileCreaté):** Criação de arquivos com extensão `.png` em diretórios temporários seguida de execução - arquivo PNG que na verdade é executável - **Sysmon Event ID 23 (FileDelete):** Exclusão de arquivos imediatamente após download e execução - padrão de auto-limpeza do pngdowner **Regras de detecção:** - Detecção de Content-Type mismatch: arquivo com extensão `.png` e magic bytes de executável PE (`MZ`) - detecção via inspeção de tráfego de proxy ## Relevância LATAM/Brasil O [[g0024-putter-panda|Putter Panda]] (Unidade 61398 do PLA) é historicamente associado a espionagem industrial e roubo de propriedade intelectual em setores de defesa, aeroespacial e tecnologia. Embora o foco principal tenha sido os EUA e Europa, empresas brasileiras com contratos em setores estratégicos - como Embraer (aeroespacial), Petrobras (energia) e empresas de telecomúnicações - podem ser alvos de interesse para grupos APT chineses com mandato semelhante. O pngdowner, como ferramenta de entrega, é relevante para compreender os vetores de comprometimento inicial usados por grupos patrocinados pela China contra alvos industriais. ## Referências - [MITRE ATT&CK - S0067](https://attack.mitre.org/software/S0067) - [CrowdStrike - Putter Panda: Intelligence Report](https://crowdstrike.com/wp-content/uploads/2020/03/putterpanda.pdf) - 2014