s0339-micropsia - RunkIntel

# Micropsia > Tipo: **malware** · S0339 · [MITRE ATT&CK](https://attack.mitre.org/software/S0339) ## Descrição [[s0339-micropsia|Micropsia]] é uma ferramenta de acesso remoto (RAT) escrita em Delphi, utilizada pelo [[g1028-apt-c-23|APT-C-23]] (também conhecido como Gaza Cybergang ou Desert Falcon) em campanhas de espionagem direcionadas principalmente a alvos no Oriente Médio, especialmente israelenses e palestinos. O malware é entregue tipicamente via engenharia social, usando documentos e arquivos de isca relacionados a temas geopolíticos relevantes para as vítimas alvo. O Micropsia oferece capacidades abrangentes de vigilância: captura de tela periódica ([[t1113-screen-capture|T1113]]), gravação de áudio do microfone ([[t1123-audio-capture|T1123]]), keylogging ([[t1056-001-keylogging|T1056.001]]), coleta automatizada de arquivos ([[t1119-automated-collection|T1119]]) e upload/download de arquivos ([[t1105-ingress-tool-transfer|T1105]]). Para manter persistência, o Micropsia modifica atalhos do sistema ([[t1547-009-shortcut-modification|T1547.009]]) e oculta arquivos e diretórios ([[t1564-001-hidden-files-and-directories|T1564.001]]). Toda comunicação C2 é realizada via protocolos web padrão ([[t1071-001-web-protocols|T1071.001]]) com payloads codificados ([[t1027-013-encryptedencoded-file|T1027.013]]). Análises comparativas do código-fonte indicam que o Micropsia compartilha base de código com outras ferramentas do [[g1028-apt-c-23|APT-C-23]], como o Arid Viper, sugerindo desenvolvimento interno contínuo pelo grupo. Versões móveis do Micropsia para Android também foram documentadas, refletindo a estratégia multiplataforma do grupo para maximizar cobertura de vigilância sobre seus alvos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] ## Grupos que Usam - [[g1028-apt-c-23|APT-C-23]] ## Detecção A detecção do Micropsia baseia-se em monitoramento de processos Delphi com comportamento de vigilância: criações de screenshots periódicas ([[t1113-screen-capture|T1113]]), tentativas de acesso ao dispositivo de áudio ([[t1123-audio-capture|T1123]]) e criação de arquivos compactados em diretórios temporários ([[t1560-001-archive-via-utility|T1560.001]]). Regras de detecção para modificação de atalhos LNK ([[t1547-009-shortcut-modification|T1547.009]]) e comúnicações HTTP com padrões específicos de User-Agent são eficazes. Ferramentas EDR que monitoram acesso a arquivos sensíveis por processos desconhecidos também identificam a atividade de coleta automatizada ([[t1119-automated-collection|T1119]]). ## Relevância LATAM/Brasil O [[g1028-apt-c-23|APT-C-23]] tem foco geopolítico no conflito israelense-palestino, com alvos primários no Oriente Médio. O risco direto para o Brasil é baixo, mas organizações com presença em zonas de conflito do Oriente Médio ou que trabalham com diplomacia regional devem monitorar IOCs do Micropsia. Além disso, o padrão técnico do malware - RAT Delphi com capacidades de vigilância abrangente - é replicado por grupos de cibercrime brasileiros que desenvolvem ferramentas similares para o mercado doméstico. ## Referências - [MITRE ATT&CK - S0339](https://attack.mitre.org/software/S0339) - [Check Point Research - APT-C-23 (Desert Falcon) Uses New Android/Windows Campaign](https://research.checkpoint.com/2022/apt-c-23-apt-group-targets-israeli-officials/)