# Gold Dragon > Tipo: **malware** · S0249 · [MITRE ATT&CK](https://attack.mitre.org/software/S0249) ## Cadeia de Infecção ```mermaid graph TB A["📧 Spear-phishing Olimpiadas<br/>Documento coreano malicioso<br/>PowerShell Empire stage 1"] --> B["🐉 Gold Dragon stage 2<br/>Implant de coleta<br/>nome hardcoded golddragon.com"] B --> C["🔍 Reconhecimento profundo<br/>Usuário / Processos / Registro<br/>T1082 / T1033 / T1012"] C --> D["📦 Staging e exfiltração<br/>Dados em 1.hwp criptografado<br/>T1074.001 + T1560 Base64"] D --> E["🔄 Download payloads adicionais<br/>BravePrince / RunningRAT<br/>Desabilita antimalware T1562.001"] classDef delivery fill:#e74c3c,color:#fff classDef implant fill:#e67e22,color:#fff classDef recon fill:#3498db,color:#fff classDef staging fill:#27ae60,color:#fff classDef lateral fill:#9b59b6,color:#fff class A delivery class B implant class C recon class D staging class E lateral ``` ## Descrição [[s0249-gold-dragon|Gold Dragon]] é um implant de coleta de dados com strings em idioma coreano, observado pela primeira vez na Coreia do Sul em julho de 2017 e amplamente documentado pela McAfee Advanced Threat Research em fevereiro de 2018. O Gold Dragon foi usado como payload de segunda fase em operações do [[g0094-kimsuky|Kimsuky]] que visavam organizações associadas aos Jogos Olímpicos de Inverno de Pyeongchang 2018, operando em conjunto com o [[s0252-brave-prince|Brave Prince]] e o [[s0253-runningrat|RunningRAT]] como parte de uma campanha coordenada de espionagem. A cadeia de ataque das Olimpíadas utilizava spear-phishing em coreano com documentos maliciosos que entregavam um implant PowerShell baseado no Empire como estágio 1; o Gold Dragon era o segundo estágio - um downloader e coletor de dados mais robusto. O malware recebeu seu nome do domínio hardcoded `www.golddragon.com` presente em suas amostras. Gold Dragon realizava reconhecimento extenso: coletava nome de usuário ([[t1033-system-owneruser-discovery|T1033]]), executa `systeminfo` ([[t1082-system-information-discovery|T1082]]), enumera processos ([[t1057-process-discovery|T1057]]) e verifica produtos de segurança instalados ([[t1518-001-security-software-discovery|T1518.001]]), terminando processos antimalware ativos ([[t1562-001-disable-or-modify-tools|T1562.001]]). Os dados coletados eram armazenados em um arquivo chamado `1.hwp` (formato HWP - processador de texto coreano Hancom) criptografado com senha baseada no domínio hardcoded e então codificados em Base64 ([[t1560-archive-collected-data|T1560]]) para exfiltração via HTTP POST. O arquivo `2.hwp` era apagado após a instalação para remover evidências ([[t1070-004-file-deletion|T1070.004]]). A persistência era garantida via Startup folder no Registry ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). **Plataformas:** Windows ## Técnicas Utilizadas - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1012-query-registry|T1012 - Query Registry]] ## Grupos que Usam - [[g0094-kimsuky|Kimsuky]] ## Detecção - **Monitoramento de arquivos HWP** - Detectar criação de arquivos `.hwp` fora de contextos esperados (escritório, aplicações HWP) e particularmente em diretórios temporários - indicativo de staging de dados do Gold Dragon ([[t1074-001-local-data-staging|T1074.001]]) - **Execução de `systeminfo`** - Alertar para execução de `systeminfo.exe` iniciada por processos incomuns (não CMD do usuário, não ferramentas de inventário conhecidas) ([[t1082-system-information-discovery|T1082]]) - **HTTP POST para domínios recém-registrados** - Correlacionar uploads HTTP POST com processos não-browser e domínios com baixo histórico de reputação ([[t1071-001-web-protocols|T1071.001]]) - **Terminação de processos antimalware** - Detectar tentativas de `TerminateProcess` em processos de segurança conhecidos a partir de processos não-privilégiados ([[t1562-001-disable-or-modify-tools|T1562.001]]) ## Relevância LATAM/Brasil O [[g0094-kimsuky|Kimsuky]], operador do Gold Dragon, foca em espionagem geopolítica relacionada à Coreia do Norte - think tanks, pesquisadores de política nuclear, organizações associadas a eventos de alto perfil. A campanha das Olimpíadas de 2018 demonstra a capacidade do grupo de adaptar seus alvos a eventos internacionais de alto perfil. Organizações brasileiras com envolvimento em eventos internacionais, relações com a Coreia do Sul ou pesquisa sobre geopolítica da Península Coreana podem ser alvos periféricos do Kimsuky. ## Referências - [1](https://attack.mitre.org/software/S0249) MITRE ATT&CK - Gold Dragon S0249 - [2](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/gold-dragon-widens-olympics-malware-attacks-gains-permanent-presence-on-victims-systems/) McAfee ATR - Gold Dragon Widens Olympics Malware Attacks (2018)