s0118-nidiran - RunkIntel

# Nidiran > Tipo: **malware** · S0118 · [MITRE ATT&CK](https://attack.mitre.org/software/S0118) ## Descrição [[s0118-nidiran|Nidiran]] é um backdoor personalizado desenvolvido e utilizado pelo [[g0039-suckfly|Suckfly]], um grupo de ameaça de origem indiana vinculado a espionagem cibernética. Foi entregue via comprometimento estratégico de sites (strategic web compromise - SWC), uma técnica que consiste em infectar portais legítimos frequentados pelo público-alvo para distribuir o malware de forma passiva e discreta. Após a infecção, o Nidiran estabelece persistência no sistema Windows por meio de um serviço disfarçado como software legítimo, permitindo ao atacante executar comandos remotamente e transferir ferramentas adicionais para o host comprometido. A capacidade de mascarar tarefas e serviços dificulta significativamente a detecção por soluções de segurança tradicionais. O [[g0039-suckfly|Suckfly]] utilizou o Nidiran em campanhas contra organizações governamentais e do setor de defesa no sul da Ásia e no Oriente Médio, demonstrando interesse em propriedade intelectual de alto valor e segredos de estado. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] ## Grupos que Usam - [[g0039-suckfly|Suckfly]] ## Detecção - Monitorar criação de novos serviços Windows com nomes que imitam software legítimo ([[t1543-003-windows-service|T1543.003]]) - Detectar downloads de binários executáveis via processos de serviço ([[t1105-ingress-tool-transfer|T1105]]) - Analisar conexões de saída iniciadas por processos de serviço incomuns - Auditar modificações no registro relacionadas à instalação de novos serviços ## Relevância LATAM/Brasil O Nidiran, embora focado em alvos governamentais e de defesa na Ásia, representa uma classe de backdoor de comprometimento estratégico de sites que é amplamente replicada por grupos regionais. Organizações brasileiras dos setores de governo, energia e defesa que mantêm portais web com audiências especializadas devem considerar o risco de campanhas similares direcionadas ao ecossistema LATAM, especialmente dado o aumento de atividade de espionagem cibernética na região. ## Referências - [MITRE ATT&CK - S0118](https://attack.mitre.org/software/S0118)