# Crimson RAT > [!high] RAT Principal do APT36 - Espionagem contra India e LATAM > **Crimson RAT** (MITRE S0115) e o Remote Access Trojan emblematico do grupo [[g0134-transparent-tribe|APT36]] (Transparent Tribe), um ator de ameaça vinculado ao Paquistao ativo desde 2013. O malware .NET e entregue principalmente via spear-phishing com documentos militares e governamentais falsos, e e capaz de capturar telas, registrar teclas, gravar webcam, exfiltrar arquivos e executar comandos remotos - projetado específicamente para espionagem de longo prazo contra entidades governamentais e militares indianas. ## Visão Geral [[s0115-crimson-rat|Crimson RAT]] e um trojan de acesso remoto desenvolvido e operado exclusivamente pelo [[g0134-transparent-tribe|APT36]], também rastreado como Transparent Tribe, Earth Karkaddan, Mythic Leopard, Storm-0156 e COPPER FIELDSTONE. O grupo e avaliado como um ator estatal paquistanes com foco persistente em espionagem contra o governo indiano, forcas militares e instituicoes academicas. O malware e implementado em **.NET Framework**, o que facilita sua modificacao frequente pelos operadores. Apesar da aparente simplicidade técnica, o Crimson RAT tem demonstrado longevidade notavel - permanecendo ativo e em constante evolução desde pelo menos 2016, com campanhas documentadas até 2026 contra startups de cibersegurança indianas. O [[s0115-crimson-rat|Crimson RAT]] e entregue tipicamente embutido em arquivos ZIP com documentos PPAM (PowerPoint Macro-Enabled) ou documentos Word com macros, frequentemente disfarados de materiais oficiais do exercito indiano, avisos do governo ou temas relacionados a organizacoes como DRDO e NIC. O tamanho do binario e artificialmente inflado para ~34MB com dados junk para evitar scanners com limites de tamanho de arquivo. **Plataformas:** Windows ## Como Funciona 1. **Entrega por Spear-Phishing:** Email com arquivo ZIP contendo LNK malicioso disfarado de PDF ([[t1566-001-spearphishing-attachment|T1566.001]]). O LNK executa `mshta.exe` para carregar HTA remoto que descriptografa e carrega o RAT em memoria. 2. **Dropper e Decoy:** Um arquivo PPAM ou documento Word com macro extrai o payload Crimson RAT de um objeto OLE embedded. Simultaneamente abre o documento isca real para nao levantar suspeita. 3. **Reconhecimento:** Coleta informações do sistema ([[t1082-system-information-discovery|T1082]]), versao .NET, AV instalado, processos em execução ([[t1057-process-discovery|T1057]]) e dados de rede. 4. **Espionagem Ativa:** Captura de telas ([[t1113-screen-capture|T1113]]), keylogging ([[t1056-001-keylogging|T1056.001]]), streaming de webcam, gravacao de microfone, busca e exfiltração de arquivos ([[t1005-data-from-local-system|T1005]]). 5. **Comúnicação C2:** Protocolo TCP customizado sobre servidores C2 hardcoded (ex: `93.127.133.9:443`). Uso crescente de Google Sheets, Firebase e GitHub como C2 alternativo para evasão. 6. **Execução de Comandos:** Shell CMD remoto ([[t1059-003-windows-command-shell|T1059.003]]) conforme instrucoes do operador. ```mermaid graph TB A["Spear-Phishing<br/>ZIP com LNK falso<br/>T1566.001 lures militares"] --> B["mshta.exe + HTA<br/>Carrega RAT em memoria<br/>Decoy PDF exibido"] B --> C["Reconhecimento<br/>Sysinfo + AV + processos<br/>T1082 + T1057"] C --> D["Espionagem Ativa<br/>Screenshot + Keylog<br/>Webcam + Mic T1113"] D --> E["Exfiltração de Dados<br/>Arquivos Office/PDF/DB<br/>T1005 via C2 TCP"] E --> F["C2 Commúnication<br/>TCP hardcoded / Google Sheets<br/>T1071.001 evasão DNS"] classDef delivery fill:#c0392b,color:#fff classDef loader fill:#8e44ad,color:#fff classDef recon fill:#d35400,color:#fff classDef spy fill:#16a085,color:#fff classDef exfil fill:#2c3e50,color:#fff classDef c2 fill:#2980b9,color:#fff class A delivery class B loader class C recon class D spy class E exfil class F c2 ``` ## Timeline ```mermaid timeline title Crimson RAT - Evolução APT36 2013 : APT36 inicia operacoes : Foco inicial em diplomaticos indianos 2016 : Crimson RAT identificado publicamente : MITRE S0115 registrado : Spear-phishing com temas militares 2021 : Campanhas via instalador Kavach falso : Talos documenta operacoes contra India 2022 : Versao para macOS identificada : Campanhas contra IITs - setor educacional 2023 : Crimson RAT via PPAM com macros : Exercito indiano como alvo principal 2025 : Campainha contra startups cybersec BR/India : Payload .NET 34MB junk padding 2026 : Atividade continuada confirmada CYFIRMA ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spear-phishing com docs militares/gov | | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | CMD remoto do operador | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | Copia em %APPDATA% Startup | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Ofuscação + padding junk 34MB | | Discovery | [[t1082-system-information-discovery\|T1082]] | Sysinfo + versao .NET + AV | | Discovery | [[t1057-process-discovery\|T1057]] | Enumeracao de processos | | Collection | [[t1113-screen-capture\|T1113]] | Captura de tela e streaming | | Collection | [[t1056-001-keylogging\|T1056.001]] | Keylogger + clipboard | | Collection | [[t1005-data-from-local-system\|T1005]] | Exfiltração de arquivos locais | | Command and Control | [[t1071-001-web-protocols\|T1071.001]] | TCP customizado / Google Sheets C2 | ## Relevância LATAM/Brasil Embora o foco historico do [[g0134-transparent-tribe|APT36]] seja a India, a expansao documentada para **startups de cibersegurança** no inicio de 2026 e uma evolução significativa. A pesquisa da Acronis TRU em fevereiro de 2026 confirmou campanhas contra empresas de segurança na India - um setor com estreitas colaboracoes com o Brasil através de eventos como [[h2hc|H2HC]] e [[bsidessao|BSidesSP]]. Alem disso, o [[g0134-transparent-tribe|APT36]] tem historico de campanhas oportunistas em outros paises sulasiaticos e de interesse para a politica externa paquistanesa. Pesquisadores de segurança brasileiros que participam de programas de cooperação com India, ou organizacoes com presenca em ambos os paises, devem considerar o risco de campanha oportunista. **Setores impactados:** [[government|governo]] - [[military|militar]] - [[education|educação]] - [[technology|tecnologia]] - cibersegurança ## Detecção e Defesa - Bloquear execução de `mshta.exe` em ambientes que nao necessitam de aplicações HTA - Monitorar criação de arquivos em `%APPDATA%` com nomes de processos Windows legitimos (ex: `excel.exe`) - Alertar para conexoes TCP de saida para IPs nao categorizados em portas 443/80 - Monitorar o PowerShell removendo o atributo Mark-of-the-Web (`Unblock-File`) - Implementar GPO para desabilitar macros em documentos Office vindos de email - Usar sandbox para inspecionar anexos ZIP com LNK disfarados de PDF - Detectar arquivos .NET incomumente grandes (~34MB) - indicador de padding anti-análise ## Referências - [1](https://attack.mitre.org/software/S0115/) MITRE ATT&CK - S0115 Crimson RAT - [2](https://thehackernews.com/2026/01/transparent-tribe-launches-new-rat.html) The Hacker News - Transparent Tribe RAT 2026 (2026) - [3](https://cyberpress.org/transparent-tribe-targets-startups/) CyberPress - APT36 Targets India Startups com Crimson RAT (2026) - [4](https://www.seqrite.com/documents/en/white-papers/whitepaper-transparent-tribe-apt.pdf) Seqrite - Transparent Tribe APT Whitepaper (2023) - [5](https://www.anvilogic.com/threat-reports/apt36s-transparent-tribe-campaign) Anvilogic - APT36 Transparent Tribe Campaign Analysis (2022)