s0212-coraldeck - RunkIntel

# CORALDECK > Tipo: **malware** · S0212 · [MITRE ATT&CK](https://attack.mitre.org/software/S0212) ## Descrição [[s0212-coraldeck|CORALDECK]] é uma ferramenta de exfiltração utilizada pelo [[g0067-apt37|APT37]], grupo de ameaças persistentes avançadas associado à Coreia do Norte. A ferramenta foi identificada em múltiplas campanhas de espionagem cibernética contra alvos sul-coreanos e internacionais, funcionando como componente especializado em coleta e transmissão de arquivos do sistema comprometido. O [[s0212-coraldeck|CORALDECK]] opera realizando varredura de diretórios do sistema em busca de arquivos de interesse, comprimindo-os em arquivos ZIP e exfiltrando os dados via protocolo HTTP não criptografado. Essa abordagem permite ao [[g0067-apt37|APT37]] coletar seletivamente documentos, imagens e outros arquivos sensíveis sem levantar suspeitas imediatas. A capacidade de arquivamento via utilitário integra-se com outras ferramentas do arsenal do APT37, como o [[s0240-rokrat|ROKRAT]] e o [[s0216-pooraim|POORAIM]], formando uma cadeia de ataque completa. A simplicidade funcional do [[s0212-coraldeck|CORALDECK]] reflete a abordagem modular do [[g0067-apt37|APT37]]: cada ferramenta realiza uma função específica com eficiência, dificultando a detecção e facilitando a substituição de componentes comprometidos. O malware não possui mecanismo de persistência próprio, sendo geralmente carregado por outros componentes do arsenal do grupo e executado sob demanda pelo operador remoto. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0067-apt37|APT37]] ## Detecção - Monitorar criação de arquivos ZIP em diretórios temporários incomuns ([[t1560-001-archive-via-utility|T1560.001]]) - Detectar transferências HTTP não criptografadas de arquivos comprimidos para IPs externos - Alertar sobre processos realizando varredura recursiva de sistemas de arquivos ([[t1083-file-and-directory-discovery|T1083]]) - Identificar execuções de utilitários de compressão (ZIP, RAR) iniciados por processos pai incomuns - Monitorar anomalias de volume de tráfego de saída em portas HTTP padrão ## Relevância LATAM/Brasil O [[s0212-coraldeck|CORALDECK]] e o [[g0067-apt37|APT37]] têm foco primário em alvos sul-coreanos e países com tensões geopolíticas com a Coreia do Norte. Para o Brasil e América Latina, a relevância é indireta mas real: organizações com operações na Ásia-Pacífico, empresas de tecnologia com presença global e entidades governamentais brasileiras com relações diplomáticas com a Coreia do Sul podem ser alvos colaterais de campanhas do APT37. O modelo modular e especializado do CORALDECK serve também como referência para grupos de espionagem com interesse em alvos latino-americanos, dada a eficiência demonstrada na exfiltração silenciosa de dados. ## Referências - [MITRE ATT&CK - S0212](https://attack.mitre.org/software/S0212) - [MITRE ATT&CK - APT37](https://attack.mitre.org/groups/G0067)