s0268-bisonal - RunkIntel

# Bisonal > Tipo: **malware** · S0268 · [MITRE ATT&CK](https://attack.mitre.org/software/S0268) ## Descrição [[s0268-bisonal|Bisonal]] é uma ferramenta de acesso remoto (RAT) utilizada pelo [[g0131-tonto-team|Tonto Team]] (também conhecido como CactusPete, Bronze Huntley) contra organizações dos setores público e privado na Rússia, Coreia do Sul e Jápão desde pelo menos dezembro de 2010. O malware é continuamente atualizado, com variantes documentadas ao longo de mais de uma década de operações ativas de espionagem. O [[s0268-bisonal|Bisonal]] comúnica-se com infraestrutura C2 usando criptografia simétrica (T1573.001) para proteger o tráfego de rede. Para persistência, registra-se como um serviço Windows (T1543.003) ou via Registry Run Keys (T1547.001), e utiliza Add-ins do Office (T1137.006) como vetor alternativo de persistência. O malware realiza verificações de sandbox baseadas em tempo (T1497.003) e evita ambientes virtualizados antes de executar seu payload principal. Capacidades incluem coleta de dados do sistema local, descoberta de processos e transferência de ferramentas adicionais. A atribuição ao [[g0131-tonto-team|Tonto Team]] é consistente com o histórico de espionagem patrocinada pela China contra alvos no Extremo Oriente e Ásia-Pacífico. Pesquisadores da Kaspersky e da ESET documentaram múltiplas variantes do [[s0268-bisonal|Bisonal]] desde 2011, com campanhas recentes visando também organizações militares e de defesa. O uso de scripts Visual Basic (T1059.005) para execução de macros em documentos de spear-phishing é uma característica consistente das campanhas documentadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1106-native-api|T1106 - Native API]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1137-006-add-ins|T1137.006 - Add-ins]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] ## Grupos que Usam - [[g0131-tonto-team|Tonto Team]] ## Detecção - **Sysmon Event ID 13** (Registry Value Set): monitorar criação de chaves `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por processos não-administrativos como indicador de persistência via Registry Run Keys (T1547.001) - **Sysmon Event ID 25** (Process Tampering): detectar modificação de tempo de processo como indicativo de verificações anti-sandbox baseadas em tempo (T1497.003) - **EDR**: alertar em criação de serviços Windows por executáveis com assinatura inválida ou ausente; monitorar Add-ins de Office sendo carregados de diretórios temporários ou de perfil de usuário (T1137.006) - **Referência Sigma**: `registry_event_office_vba_addins.yml` (Sigma HQ) para detecção de Add-ins VBA maliciosos em aplicações Office ## Relevância LATAM/Brasil O [[g0131-tonto-team|Tonto Team]] opera primariamente no contexto geopolítico do Extremo Oriente, mas as técnicas do [[s0268-bisonal|Bisonal]] - especialmente o uso de spear-phishing com macros VBA e persistência via serviços Windows - são replicadas por grupos de espionagem que atuam na América Latina. Organizações brasileiras nos setores de governo, defesa e energia com presença ou parcerias na região Ásia-Pacífico devem considerar os indicadores de [[s0268-bisonal|Bisonal]] relevantes. A métodologia de campanha do [[g0131-tonto-team|Tonto Team]] é estudada como referência por analistas de CTI que monitoram ameaças de espionagem patrocinadas por estados contra o Brasil. ## Referências - [MITRE ATT&CK - S0268](https://attack.mitre.org/software/S0268)