s0166-remotecmd - RunkIntel

# RemoteCMD > Tipo: **malware** · S0166 · [MITRE ATT&CK](https://attack.mitre.org/software/S0166) ## Descrição [[s0166-remotecmd|RemoteCMD]] é uma ferramenta personalizada utilizada pelo [[g0022-apt3|APT3]] (Gothic Panda, UPS Team), grupo de espionagem cibernética com nexo à China, para executar comandos em sistemas remotos de forma semelhante à funcionalidade PsExec do SysInternals. O [[g0022-apt3|APT3]] foi responsável por campanhas de espionagem de alto perfil, incluindo o comprometimento de empresas de defesa e tecnologia nos EUA. O RemoteCMD funciona como uma ferramenta de movimento lateral, permitindo que operadores do [[g0022-apt3|APT3]] executem comandos arbitrários em sistemas remotos já comprometidos dentro da mesma rede. Ele usa execução via serviço Windows ([[t1569-002-service-execution|T1569.002]]) - instalando um serviço temporário no sistema remoto, executando o comando desejado, e depois removendo o serviço. Para deployar a ferramenta em novos sistemas, usa transferência de arquivos via rede ([[t1105-ingress-tool-transfer|T1105]]) e pode usar tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]) como alternativa de execução. Esta abordagem de criação e remoção de serviços temporários é uma técnica clássica de administração Windows que o [[g0022-apt3|APT3]] adaptou para operações ofensivas, aproveitando o fato de que ferramentas de segurança da época raramente monitoravam a criação efêmera de serviços Windows. O RemoteCMD é representativo das ferramentas de movimento lateral desenvolvidas internamente por grupos APT para substituir ferramentas públicas como PsExec que poderiam ser bloqueadas ou detectadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0022-apt3|APT3]] ## Detecção A detecção do RemoteCMD foca em criação e rápida remoção de serviços Windows ([[t1569-002-service-execution|T1569.002]]) - uma sequência de eventos de curta duração no log de eventos do sistema (Event IDs 7045, 7036) é indicativa. Monitorar criação de serviços por processos de rede ou usuários não-administradores é crítico. Alertas de EDR para transferência de executáveis via SMB ([[t1105-ingress-tool-transfer|T1105]]) combinada com execução remota de serviço são sinais de movimento lateral em andamento. ## Relevância LATAM/Brasil O [[g0022-apt3|APT3]] focou primariamente em alvos norte-americanos e europeus nos setores de defesa, aeroespacial e tecnologia. No contexto brasileiro, as TTPs do RemoteCMD - especialmente movimento lateral via serviços temporários - são amplamente adotadas por grupos que operam na América Latina. Esta técnica é um componente básico de simulações de red team em organizações brasileiras e representa um risco real para ambientes corporativos com segmentação de rede insuficiente. ## Referências - [MITRE ATT&CK - S0166](https://attack.mitre.org/software/S0166)