# RogueRobin > Tipo: **malware** · S0270 · [MITRE ATT&CK](https://attack.mitre.org/software/S0270) ## Descrição [[s0270-roguerobin|RogueRobin]] é um payload utilizado pelo [[g0079-darkhydrus|DarkHydrus]], desenvolvido em PowerShell e C#, com versões observadas em campanhas de espionagem direcionadas principalmente a governos e organizações no Oriente Médio. O malware se destaca pelo uso de túnel DNS como canal de comando e controle - uma técnica avançada que permite comunicação com o servidor C2 através de consultas DNS, tornando o tráfego difícil de detectar em ambientes que não inspecionam esse protocolo. O [[s0270-roguerobin|RogueRobin]] realiza verificações de ambiente (anti-sandbox e anti-análise via [[t1497-001-system-checks|T1497.001]]) antes de executar seu payload principal, garantindo que sejá executado apenas em ambientes de produção reais. Ele também emprega ofuscação de comandos e codificação de dados para dificultar a análise estática e dinâmica. A persistência é estabelecida via modificação de atalhos do Windows e uso de WMI para garantir execução após reinicializações do sistema. O uso de Google Drive como canal de comunicação bidirecional ([[t1102-002-bidirectional-communication|T1102.002]]) foi uma técnica notável observada em algumas variantes, aproveitando serviços legítimos de nuvem para encobrir a comunicação C2 como tráfego normal de negócios - uma técnica que dificulta significativamente a detecção baseada em reputação de IP ou domínio. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1059-001-powershell|T1059.001 - PowerShell]] ## Grupos que Usam - [[g0079-darkhydrus|DarkHydrus]] ## Detecção - Monitorar consultas DNS incomuns com alta entropia ou padrões de subdomínios longos (possível tunnel DNS C2) - Detectar uso de `regsvr32` para carregar DLLs de caminhos não padrão - Alertar sobre modificações em arquivos `.lnk` de atalhos do sistema - Inspecionar scripts PowerShell com ofuscação pesada (Base64, concatenações, variáveis obfuscadas) - Monitorar comúnicações de saída para serviços Google Drive de processos não esperados ## Relevância LATAM/Brasil O modelo de C2 via DNS do [[s0270-roguerobin|RogueRobin]] é especialmente relevante para o Brasil, onde muitas organizações não implementam inspeção de tráfego DNS e não monitoram consultas DNS anômalas. Organizações governamentais brasileiras e empresas dos setores de energia e defesa, que são alvos típicos de grupos como o [[g0079-darkhydrus|DarkHydrus]], devem implementar soluções de DNS security (como Cisco Umbrella ou similar) e correlacionar eventos de DNS com outros indicadores de comprometimento. ## Referências - [MITRE ATT&CK - S0270](https://attack.mitre.org/software/S0270)