# Reaver > Tipo: **malware** · S0172 · [MITRE ATT&CK](https://attack.mitre.org/software/S0172) ## Descrição [[s0172-reaver|Reaver]] é uma família de malware ativa desde pelo menos o final de 2016, utilizada em operações de espionagem política altamente direcionadas. Relatórios da Palo Alto Networks indicam que as vítimas foram primariamente associadas aos "Cinco Venenos" - movimentos considerados ameaçadores pelo governo chinês: tibetanos, uigures, taiwaneses, democratas de Hong Kong e práticantes de Falun Gong. A atribuição ao governo chinês é sustentada pelo perfil de alvos e pelas TTPs observadas. O Reaver é técnicamente notável por uma característica rara: seu payload final consiste em itens do Painel de Controle do Windows ([[t1218-002-control-panel|T1218.002]]), um formato de arquivo (`.cpl`) raramente utilizado por malware e que pode contornar restrições de execução mais simples. O malware estabelece persistência via atalhos modificados ([[t1547-009-shortcut-modification|T1547.009]]) e chaves de Run no Registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]), e usa protocolo não-padrão de camada de rede ([[t1095-non-application-layer-protocol|T1095]]) para comunicação C2. O Reaver inclui capacidades de reconhecimento extenso (informações do sistema ([[t1082-system-information-discovery|T1082]]), configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]), usuário logado ([[t1033-system-owneruser-discovery|T1033]]), dados no Registro ([[t1680-local-storage-discovery|T1680]])) para perfilar o ambiente da vítima, além de suportar comunicação via HTTP ([[t1071-001-web-protocols|T1071.001]]) como canal primário e protocolo raw como canal alternativo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1218-002-control-panel|T1218.002 - Control Panel]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Detecção A detecção do Reaver deve incluir monitoramento de execução de arquivos `.cpl` (Painel de Controle) por processos não esperados ([[t1218-002-control-panel|T1218.002]]), que é uma atividade incomum em ambientes corporativos normais. Alertas para modificação de atalhos LNK ([[t1547-009-shortcut-modification|T1547.009]]) e tráfego de rede usando protocolos não-padrão por processos do sistema também são relevantes. Ferramentas EDR com cobertura de técnicas de LOLBins e monitoramento de atalhos podem detectar este malware eficazmente. ## Relevância LATAM/Brasil O Reaver é dirigido específicamente a comunidades dissidentes do governo chinês, um perfil de alvo com presença limitada no Brasil. No entanto, suas técnicas - especialmente o uso de Painéis de Controle como payload e persistência via atalhos - são representativas de ataques de espionagem política que podem afetar organizações de direitos humanos, grupos de pesquisa geopolítica e jornalistas investigativos no Brasil com conexões a comunidades diaspóricas de países sob vigilância do governo chinês. ## Referências - [MITRE ATT&CK - S0172](https://attack.mitre.org/software/S0172)