# Matryoshka > Tipo: **malware** · S0167 · [MITRE ATT&CK](https://attack.mitre.org/software/S0167) ## Descrição [[s0167-matryoshka|Matryoshka]] é um framework de malware modular utilizado pelo grupo [[g0052-copykittens|CopyKittens]] (nexo iraniano, rastreado como Cobalt Gypsy pela Secureworks), composto por um dropper, um loader e um RAT. O nome reflete a estrutura em camadas - assim como as bonecas russas Matryoshka - com cada componente envolto em outro. Múltiplas versões foram documentadas: a v1 operou entre julho de 2016 e janeiro de 2017, enquanto a v2 apresenta conjunto reduzido de comandos. O Matryoshka instala-se via injeção de DLL ([[t1055-001-dynamic-link-library-injection|T1055.001]]) em processos existentes para execução stealth e utiliza DNS para comunicação C2 ([[t1071-004-dns|T1071.004]]), técnica menos inspecionada que HTTP/HTTPS em muitos ambientes corporativos. O framework realiza keylogging ([[t1056-001-keylogging|T1056.001]]), captura de tela ([[t1113-screen-capture|T1113]]) e roubo de credenciais armazenadas ([[t1555-credentials-from-password-stores|T1555]]). Rundll32 é usado para execução stealth de componentes ([[t1218-011-rundll32|T1218.011]]) e Scheduled Task ([[t1053-005-scheduled-task|T1053.005]]) para persistência. O [[g0052-copykittens|CopyKittens]] tem como alvos primários Israel, Arábia Saudita, Turquia e países ocidentais em campanhas de espionagem cibernética com motivação geopolítica. A estrutura modular do Matryoshka - permitindo atualização de componentes individuais sem comprometer toda a cadeia - é uma abordagem de engenharia de malware que reflete maturidade operacional do grupo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] ## Grupos que Usam - [[g0052-copykittens|CopyKittens]] ## Detecção - **[[ds-0029-network-traffic|Network Traffic Content]]** - Monitorar consultas DNS incomuns com labels de subdomínio longas ou em alta frequência - o Matryoshka usa DNS para comunicação C2, que é menos inspecionado que HTTP. - **[[ds-0009-process|Process Creation]]** - Detectar uso de Rundll32 para carregar DLLs em caminhos incomuns - técnica central do Matryoshka para execução stealth via Rundll32. - **[[ds-0012-script|Script Execution]]** - Alertar para execução de múltiplos comandos de scripting em sequência rápida logo após abertura de documentos - padrão de dropper do Matryoshka via Office macros. ```sigma title: Matryoshka DNS C2 Commúnication Pattern status: experimental logsource: category: dns_query product: windows detection: selection: QueryName|re: '.*[a-f0-9]{20,}\..*' condition: selection falsepositives: - CDN services and security products using long subdomains level: medium tags: - attack.command-and-control - attack.t1071.004 - code/distill ``` ## Relevância LATAM/Brasil O [[g0052-copykittens|CopyKittens]], com nexo iraniano e foco em espionagem geopolítica, amplia seu escopo de targeting conforme as relações diplomáticas do Irã evoluem. Organizações de pesquisa nuclear, academia e think tanks com foco em Oriente Médio no Brasil podem ser alvos de coleta de inteligência por atores com perfil similar ao CopyKittens. ## Referências - [MITRE ATT&CK - S0167](https://attack.mitre.org/software/S0167) - [ClearSky - CopyKittens Matryoshka Framework](https://s3-eu-west-1.amazonaws.com/minervaresearchpublic/CopyKittens/CopyKittens.pdf)