# Winnti for Windows > Tipo: **malware** · S0141 · [MITRE ATT&CK](https://attack.mitre.org/software/S0141) ## Descrição [[s0141-winnti-for-windows|Winnti for Windows]] é um RAT modular utilizado provavelmente por múltiplos grupos de ameaça chineses para realizar intrusões em diversas regiões desde pelo menos 2010, incluindo o grupo epônimo [[g0044-winnti-group|Winnti Group]] e o [[g0143-aquatic-panda|Aquatic Panda]]. A família Winnti tornou-se uma das referências de malware APT chinês mais documentadas, sendo utilizada em campanhas de espionagem industrial, roubo de certificados de código e comprometimento de cadeias de suprimentos de software. A variante para Linux é rastreada separadamente como [[s0430-winnti-for-linux|Winnti for Linux]]. O Winnti for Windows é um RAT driver-based que opera em modo kernel, fornecendo ao operador capacidades avançadas de controle e furtividade. O malware suporta proxy interno e externo para rotear tráfego C2 através da rede comprometida, utiliza protocolos de camada não-aplicação para comunicação furtiva, e instala-se como serviço Windows via Rundll32 com bypass de UAC. A compressão de dados antes da transmissão e o uso de criptografia simétrica protegem as comúnicações. O Winnti Group ficou amplamente conhecido após ser exposto pela Kaspersky Lab em 2011 em investigação sobre roubo de certificados de assinatura de código de empresas de jogos online. O acesso a certificados válidos permitiu ao grupo assinar malware com certificados legítimos, contornando verificações de assinatura de software em sistemas Windows - uma técnica de alto valor para operações de espionagem que perdura até hoje. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1106-native-api|T1106 - Native API]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1090-002-external-proxy|T1090.002 - External Proxy]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0143-aquatic-panda|Aquatic Panda]] - [[g0044-winnti-group|Winnti Group]] ## Detecção A detecção do Winnti for Windows requer monitoramento de drivers e serviços do kernel não documentados, execução de Rundll32 com argumentos incomuns, e bypass de UAC por processos de serviço. Análise de tráfego de rede para comúnicações em protocolos incomuns e padrões de proxy interno são indicadores relevantes. A verificação de drivers assinados com certificados roubados de empresas de jogos (um TTP histórico do Winnti Group) pode ser realizada consultando listas de certificados revogados conhecidos. ## Relevância LATAM/Brasil A família Winnti e os grupos que a utilizam têm foco global em indústrias de alto valor - telecomúnicações, tecnologia, jogos, farmacêutica e defesa. Empresas brasileiras nesses setores com operações internacionais ou propriedade intelectual valiosa são potenciais alvos. A técnica de roubo de certificados de código para assinar malware, histórica do [[g0044-winnti-group|Winnti Group]], representa um risco específico para empresas de software brasileiras que possam ter seus certificados comprometidos e utilizados em ataques downstream. ## Referências - [MITRE ATT&CK - S0141](https://attack.mitre.org/software/S0141)