# Sakula > Tipo: **malware** · S0074 · [MITRE ATT&CK](https://attack.mitre.org/software/S0074) ## Descrição [[s0074-sakula|Sakula]] (também conhecido como Sakurel ou VIPER) é uma ferramenta de acesso remoto (RAT) que surgiu pela primeira vez em 2012 e foi amplamente utilizada pelo [[g0009-deep-panda|Deep Panda]] - grupo de espionagem cibernética de origem chinesa - em intrusões de alto perfil ao longo de 2014 e 2015. Entre os alvos mais notórios de campanhas usando o Sakula estão a Anthem Inc. (maior seguradora de saúde dos EUA, com 78 milhões de registros comprometidos) e o Office of Personnel Management (OPM) dos Estados Unidos, onde dados de segurança nacional de funcionários federais foram exfiltrados. A entrega do [[s0074-sakula|Sakula]] tipicamente ocorre via arquivos executáveis mascarados como instaladores de software legítimo ou via DLL hijacking ([[t1574-001-dll|T1574.001]]), com o binário principal sendo carregado por `rundll32.exe` ([[t1218-011-rundll32|T1218.011]]). Uma vez executado, instala-se como serviço do Windows ([[t1543-003-windows-service|T1543.003]]) ou via chaves Run do registro para garantir persistência. As comúnicações com o servidor C2 são criptografadas com algoritmos simétricos ([[t1573-001-symmetric-cryptography|T1573.001]]) para dificultar a inspeção do tráfego. O malware possui capacidades abrangentes de administração remota: execução de comandos shell, download e upload de arquivos, e bypass de controle de conta de usuário (UAC) para operação privilegiada. A autodestruição ([[t1070-004-file-deletion|T1070.004]]) é implementada para remover evidências após conclusão das operações ou quando instruído pelo operador. O perfil de alvos do [[g0009-deep-panda|Deep Panda]] sugere objetivos de inteligência estratégica e econômica de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] ## Grupos que Usam - [[g0009-deep-panda|Deep Panda]] ## Detecção - Monitorar `rundll32.exe` carregando DLLs de caminhos de usuário ou temp (não system32) - Detectar criação de serviços do Windows com nomes imitando software legítimo - Alertar sobre DLL hijacking em diretórios de instalação de aplicativos comuns - Inspecionar tráfego HTTP/HTTPS com padrões de beaconing regulares para domínios suspeitos - Implementar controle de aplicações para bloquear execução de binários não autorizados ## Relevância LATAM/Brasil O [[g0009-deep-panda|Deep Panda]] e grupos similares de espionagem chinesa representam uma ameaça persistente para organizações brasileiras estratégicas - especialmente no setor de saúde, governo e defesa. O Brasil possui um dos maiores bancos de dados de cidadãos do mundo (BNDES, Receita Federal, SUS) e opera empresas estatais de alto valor estratégico, tornando o país um alvo potencial para campanhas de espionagem com objetivos similares aos que motivaram o uso do Sakula contra a Anthem e o OPM. ## Referências - [MITRE ATT&CK - S0074](https://attack.mitre.org/software/S0074)