s0385-njrat - RunkIntel

# njRAT > [!high] RAT de código aberto com distribuição massiva no Brasil e LATAM - amplamente adotado por grupos APT e crime cibernético regional > Descoberto em 2012 e com código-fonte vazado em 2013, o njRAT é uma das famílias de RAT mais detectadas no Brasil, usado por grupos patrocinados por estados e operadores criminosos de baixo custo. ## Visão Geral [[s0385-njrat|njRAT]] (também conhecido como Bladabindi e LV) é uma ferramenta de acesso remoto baseada em .NET Framework, originalmente desenvolvida em 2012 para uso no Oriente Médio. Em 2013, seu código-fonte completo foi vazado públicamente em fóruns clandestinos, acelerando drasticamente sua adoção e fragmentando o ecossistema em dezenas de variantes com nomes distintos. A baixíssima barreira de entrada - interface gráfica intuitiva para o operador, payloads em .NET facilmente modificáveis - tornou o njRAT ubíquo tanto em operações de estados-nação quanto em campanhas de crime cibernético oportunistas. A adoção por grupos de alta sofisticação como [[g0096-apt41|APT41]], [[g0134-transparent-tribe|Transparent Tribe]] e [[g0143-aquatic-panda|Aquatic Panda]] demonstra que o njRAT possui capacidades genuinamente úteis além de sua acessibilidade. O conjunto de funcionalidades abrange controle remoto completo: keylogging, captura de tela e webcam, roubo de credenciais de navegadores, manipulação do registro do Windows, transferência de arquivos e desabilitação de firewall. A comunicação com o servidor de comando e controle ocorre tipicamente na porta TCP 1177 ou portas altas customizadas. Para o Brasil e a América Latina, o njRAT representa uma ameaça persistente e de alto volume. Campanhas como Operation SPALAX (2021) e atividade do grupo Blind Eagle usaram o njRAT contra alvos governamentais e corporativos colombianos, e variantes similares foram documentadas no Brasil. O grupo [[g1018-ta2541|TA2541]], que ataca a aviação civil e logística globalmente, usa njRAT como payload primário em campanhas de phishing em português. A combinação de phishing localizado em PT-BR com um RAT de código aberto facilmente customizável cria uma superfície de ameaça ampla para organizações brasileiras. A variante MBR wiper do njRAT - descoberta em 2020 - demonstra que mesmo ferramentas de baixo custo podem ser transformadas em capacidades destrutivas. Esta evolução, onde um RAT acessível adquire funcionalidade de wiper, representa uma tendência preocupante para organizações que subestimam ameaças de crime cibernético regional. **Plataformas:** Windows ## Como Funciona O njRAT opera em arquitetura cliente-servidor: o operador controla um painel administrativo (cliente) que se comúnica com agentes implantados nas vítimas (servidor). A infecção inicial tipicamente ocorre via phishing com arquivos maliciosos (.exe disfarçado, .doc com macro) ou links para download. O payload .NET é frequentemente empacotado com AutoIT ou ofuscado com ferramentas comerciais de proteção para dificultar detecção por antivírus. Após execução, o njRAT registra persistência via chaves do registro `HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`, desabilita o firewall do Windows via `netsh`, e estabelece conexão de saída com o servidor C2 na porta configurada. A comunicação é criptografada com Base64 e codificação customizada. O operador recebe notificação de novo implante e pode imediatamente iniciar coleta de credenciais, capturas de tela ou execução de comandos. ## Attack Flow njRAT ```mermaid graph TB A["Phishing PT/AR Arquivo malicioso ou link download"] --> B["Execução inicial PowerShell/Native API T1059.001 / T1106"] B --> C["Persistência Registry Run Key Firewall desabilitado"] C --> D["Reconhecimento total Screen + Video + Keys Credenciais navegador"] D --> E["C2 customizado Porta 1177 ou alta Dados exfiltrados"] E --> F["Movimento lateral Ingress Tool Transfer Proxima vitima"] classDef delivery fill:#dc2626,color:#fff classDef exec fill:#ea580c,color:#fff classDef persist fill:#3b82f6,color:#fff classDef recon fill:#16a34a,color:#fff classDef c2 fill:#7c3aed,color:#fff classDef lateral fill:#0891b2,color:#fff class A delivery class B exec class C persist class D recon class E c2 class F lateral ``` ## Linha do Tempo ```timeline 2012 : Origem no Oriente Medio : Desenvolvido para campanhas regionais 2013 : Código-fonte vazado : Adocao massiva global em forums 2015 : Adocao por APT28 e outros : Variantes em campanha Transparent Tribe 2019 : Variantes AutoIT e VB.NET : Campanha TA2541 aviacao civil 2020 : Variante MBR Wiper : KPMG publica análise técnica 2021 : Operation SPALAX Colombia : Blind Eagle usa njRAT LATAM 2024 : TAG-144 LATAM (Recorded Future) : Campanha Sul-Americana confirmada 2025 : Ativo em campanhas BR/LATAM : Phishing PT-BR documentado ``` ## TTPs - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1125-video-capture|T1125 - Video Capture]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1106-native-api|T1106 - Native API]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] ## Grupos que Usam - [[g0134-transparent-tribe|Transparent Tribe]] - [[g0043-group5|Group5]] - [[g0143-aquatic-panda|Aquatic Panda]] - [[g0096-apt41|APT41]] - [[g0140-lazyscripter|LazyScripter]] - [[g0078-gorgon-group|Gorgon Group]] - [[g1018-ta2541|TA2541]] ## Relevância LATAM/Brasil O njRAT é uma das famílias de RAT mais detectadas no Brasil, distribuído regularmente via campanhas de phishing em português. O grupo [[g1018-ta2541|TA2541]] usa njRAT contra a aviação civil brasileira, setor com infraestrutura crítica e alto impacto operacional potencial. Campanhas documentadas na América do Sul por TAG-144 (Recorded Future, 2025) confirmam que operadores regionais utilizam njRAT como vetor primário de comprometimento. A combinação de baixo custo de operação, código-fonte disponível para customização e capacidade de roubo de credenciais bancárias torna o njRAT uma ameaça persistente para pequenas e médias empresas brasileiras, fintechs, cooperativas financeiras e usuários domésticos com acesso a sistemas bancários. Organizações devem priorizar detecção comportamental sobre assinaturas, dado o alto volume de variantes. Filtros de email robustos e treinamento de conscientização em português são as mitigações mais eficazes. ## Detecção - Monitorar conexões de saída TCP para IPs externos em porta 1177 ou portas altas não reconhecidas originadas por processos .NET ou AutoIT - Detectar modificação do firewall do Windows via `netsh advfirewall` por processos não administrativos ([[t1562-004-disable-or-modify-system-firewall|T1562.004]]) - Alertar para PowerShell executando scripts codificados em Base64 com padrão de conexão de saída ([[t1059-001-powershell|T1059.001]]) - Usar assinaturas YARA baseadas em strings características: `njq8`, `nj_rat`, `Bladabindi` - Monitorar chaves de registro `HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` para entradas criadas por processos .NET não reconhecidos - EDR com visibilidade de chamadas de API: detectar `SetWindowsHookEx` (keylogging) por processos não relacionados a acessibilidade ## Referências - [1](https://attack.mitre.org/software/S0385) MITRE ATT&CK - S0385 njRAT (2024) - [2](https://www.recordedfuture.com/research/tag-144-south-america) Recorded Future - TAG-144 South América RAT Campaigns (2025) - [3](https://assets.kpmg.com/content/dam/kpmg/au/pdf/2020/cyber-threat-intelligence-report-njrat.pdf) KPMG - njRAT Cyber Threat Intelligence Report (2020) - [4](https://www.welivesecurity.com/2021/02/10/spalax-targeted-malware-attacks-colombia/) ESET - Operation SPALAX Targeted Attacks Colombia (2021) - [5](https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-activity) Proofpoint - Charting TA2541 Aviation Targeting (2022)