s0158-phoreal - RunkIntel

# PHOREAL > Tipo: **malware** · S0158 · [MITRE ATT&CK](https://attack.mitre.org/software/S0158) ## Descrição [[s0158-phoreal|PHOREAL]] é um backdoor característico e exclusivo utilizado pelo [[g0050-apt32|APT32]] (OceanLotus), grupo de ameaça vietnamita com atribuição ao governo do Vietnã. O PHOREAL representa uma das assinaturas técnicas do [[g0050-apt32|APT32]], sendo uma ferramenta desenvolvida internamente que demonstra as capacidades de desenvolvimento de malware customizado do grupo. O backdoor se comúnica via protocolo não-padrão de camada de aplicação, tornando mais difícil a identificação por soluções de inspeção de tráfego baseadas em assinaturas de protocolos conhecidos. Modifica o registro do Windows para persistência e usa o interpretador de comandos do Windows para execução de tarefas. Apesar de suas capacidades documentadas serem relativamente limitadas em comparação com outros implantes do APT32 como o [[osxoceanlotusd|OSX_OCEANLOTUS.D]], o PHOREAL serve como um implante furtivo de longa duração em alvos de alto valor. O [[g0050-apt32|APT32]] é conhecido por realizar operações de espionagem cibernética altamente sofisticadas contra empresas estrangeiras com atividades no Vietnã, jornalistas, ativistas de direitos humanos e governos de países ASEAN rivais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] ## Grupos que Usam - [[g0050-apt32|APT32]] ## Detecção - Monitorar comunicação de rede usando protocolos não-identificáveis ou tráfego binário em portas incomuns ([[t1095-non-application-layer-protocol|T1095]]) - Detectar modificações no registro por processos desconhecidos ([[t1112-modify-registry|T1112]]) - Alertar para execução de cmd.exe a partir de processos pai incomuns ([[t1059-003-windows-command-shell|T1059.003]]) - Correlacionar com outros IoCs do APT32 para detecção de campanha OceanLotus ## Relevância LATAM/Brasil O [[g0050-apt32|APT32]] tem como alvos empresas com operações no Vietnã e países ASEAN, incluindo organizações do setor de manufatura, varejo e serviços. Empresas brasileiras com joint ventures, escritórios ou parceiros na região - especialmente no setor têxtil, calçadista e agroindustrial - podem ser alvos de campanhas do APT32. O PHOREAL, como implante furtivo de longa duração, representa um risco particular para organizações sem monitoramento contínuo de comportamento de rede. ## Referências - [MITRE ATT&CK - S0158](https://attack.mitre.org/software/S0158)