s0280-miragefox - RunkIntel

# MirageFox > Tipo: **malware** · S0280 · [MITRE ATT&CK](https://attack.mitre.org/software/S0280) ## Descrição [[s0280-miragefox|MirageFox]] é uma ferramenta de acesso remoto utilizada pelo [[g0004-apt15|Ke3chang]] (APT15) contra sistemas Windows, identificada em 2018 pela Intezer como uma versão aprimorada do RAT Mirage original (2012). O [[g0004-apt15|Ke3chang]] é um grupo de ciberespionagem com nexo na China que historicamente tem como alvo missões diplomáticas e governos na Europa, Américas e setores de energia. O MirageFox é implementado como uma DLL carregada via DLL Side-Loading ([[t1574-001-dll|T1574.001]]) em processos legítimos, uma técnica que dificulta a detecção baseada em nome de processo. O malware coleta informações detalhadas do sistema ([[t1082-system-information-discovery|T1082]]) e do usuário ([[t1033-system-owneruser-discovery|T1033]]) e executa comandos via shell Windows ([[t1059-003-windows-command-shell|T1059.003]]). O payload final é decodificado em memória ([[t1140-deobfuscatedecode-files-or-information|T1140]]) para evitar assinaturas de disco. A genealogia do MirageFox - Mirage (2012) → MirageFox (2018) - ilustra como grupos APT evoluem e atualizam suas ferramentas ao longo do tempo, reutilizando código-base comprovado com melhorias incrementais de evasão e funcionalidade. Essa reutilização facilita a atribuição mas também demonstra a eficiência operacional dos grupos mais estabelecidos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g0004-apt15|Ke3chang]] ## Detecção A detecção do MirageFox foca em DLL side-loading ([[t1574-001-dll|T1574.001]]): monitorar processos legítimos que carregam DLLs de diretórios não-padrão ou DLLs com nomes similares a bibliotecas do sistema mas assinatura diferente. A decodificação em memória ([[t1140-deobfuscatedecode-files-or-information|T1140]]) pode ser detectada por EDR com análise de memória de processo. Alertas para execução de shell commands por aplicações que normalmente não os utilizam ([[t1059-003-windows-command-shell|T1059.003]]) são controles complementares eficazes. ## Relevância LATAM/Brasil O [[g0004-apt15|Ke3chang]] (APT15) tem histórico de comprometimento de missões diplomáticas europeias e ministérios de relações exteriores, além de alvos no setor de energia. O Brasil mantém presença diplomática significativa globalmente e possui empresas de energia com operações internacionais - perfil que historicamente atrai a aténção do APT15. Organizações do setor diplomático e de energia devem monitorar IOCs do MirageFox e do Ke3chang como parte de seu programa de inteligência de ameaças. ## Detecção A detecção do MirageFox deve focar em DLL Side-Loading ([[t1574-001-dll|T1574.001]]) - específicamente DLLs não assinadas carregadas por aplicativos legítimos assinados. Análise comportamental de processos que executam comandos shell ([[t1059-003-windows-command-shell|T1059.003]]) inesperadamente e monitoramento de criações de arquivos temporários em diretórios de sistema são relevantes. Regras YARA baseadas nas strings e estrutura PE do MirageFox estão disponíveis públicamente e devem ser implementadas em plataformas de análise de malware. ## Relevância LATAM/Brasil O [[g0004-apt15|Ke3chang]] (APT15) tem histórico de ataques contra missões diplomáticas e governos na América Latina, incluindo alvo documentado no Brasil. O perfil de alvos do grupo - diplomacia, energia e governo - é altamente relevante para o contexto brasileiro. Organizações governamentais e missões diplomáticas no Brasil devem monitorar ativamente IOCs relacionados ao [[g0004-apt15|Ke3chang]] e suas ferramentas, incluindo o MirageFox e malware relacionado como Neoichor e Okrum. ## Referências - [MITRE ATT&CK - S0280](https://attack.mitre.org/software/S0280) - [Intezer - MirageFox: An APT15 Tool Derived From Analysis of a Developer's Toolkit](https://intezer.com/blog/research/miragefox-apt15-targets-defense-organizations-with-two-tools/) - [Intezer - MirageFox: APT15 Resurfaces with New Tools](https://intezer.com/blog/research/miragefox-apt15-resurfaces-new-tools/)