# HyperBro > Tipo: **malware** · S0398 · [MITRE ATT&CK](https://attack.mitre.org/software/S0398) ## Descrição [[s0398-hyperbro|HyperBro]] é um backdoor in-memory sofisticado, desenvolvido e utilizado exclusivamente pelo grupo de espionagem chinês [[g0027-threat-group-3390|Threat Group-3390]] (também conhecido como APT27, Emissary Panda ou LuckyMouse). Ativo desde pelo menos 2017, o HyperBro é um implante de segundo estágio implantado após estabelecimento de acesso inicial, tipicamente via exploração de vulnerabilidades em servidores expostos à internet (Exchange, SharePoint, VPN) ou via spear-phishing. Sua natureza in-memory dificulta a detecção por soluções antivírus tradicionais baseadas em arquivo. A implantação do HyperBro utiliza DLL Side-Loading - uma técnica em que o malware é carregado por um executável legítimo e assinado (como softwares de segurança ou utilitários do sistema), explorando o mecanismo de busca de DLL do Windows. Uma vez carregado, o payload é descompactado e executado diretamente na memória usando injeção de processo, sem tocar o disco com o payload descriptografado. O C2 usa HTTP/S com formato de comunicação proprietário, e o malware suporta download de módulos adicionais, captura de tela, coleta de informações do sistema e movimentação lateral. O [[g0027-threat-group-3390|Threat Group-3390]] é reconhecido por campanhas de longo prazo contra governo, defesa, energia e tecnologia em múltiplos países. O HyperBro tem sido consistentemente atualizado para incorporar novas técnicas de evasão de EDR, refletindo a maturidade operacional do grupo. Campanhas documentadas incluem ataques contra provedores de telecomúnicações na Ásia Central e Europa, e comprometimentos de supply chain em 2021 contra provedores de serviços gerenciados (MSPs). **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-process-injection|T1055 - Process Injection]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1106-native-api|T1106 - Native API]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] ## Grupos que Usam - [[g0027-threat-group-3390|Threat Group-3390]] ## Detecção A detecção do HyperBro requer visibilidade de memória e comportamento de processo. Monitorar DLL Side-Loading é prioritário: alertas para executáveis legítimos e assinados carregando DLLs não-padrão de diretórios inesperados são indicadores-chave. Ferramentas de EDR com inspeção de memória podem detectar o payload descriptografado na memória de processos legítimos. Na rede, padrões de beacon HTTP/S com intervalos regulares e volume de dados consistente indicam comunicação C2. Event ID 4688 com processos iniciando injeção de processo em alvos não-relacionados à função normal do processo é um indicador comportamental. > [!tip] DLL Side-Loading > O HyperBro frequentemente usa binários de produtos de segurança legítimos (ex: aplicativos antivírus) para carregar sua DLL maliciosa. Verificar que DLLs carregadas por produtos de segurança correspondem às versões esperadas é uma verificação de integridade valiosa. ## Relevância LATAM/Brasil O [[g0027-threat-group-3390|Threat Group-3390]] tem histórico de ataques a provedores de telecomúnicações e serviços gerenciados - dois setores altamente relevantes no Brasil. Empresas de telecomúnicações brasileiras (Claro, Oi, TIM, Vivo) e MSPs que gerenciam infraestrutura de grandes corporações são alvos potenciais de campanhas de espionagem de longo prazo. A técnica de supply chain attack via comprometimento de MSPs é especialmente preocupante no contexto brasileiro, onde muitas empresas terceirizam gestão de TI. Monitoramento de DLL Side-Loading e auditorias periódicas de processos são controles recomendados. ## Referências - [MITRE ATT&CK - S0398](https://attack.mitre.org/software/S0398) - [SecureWorks - LuckyMouse/APT27: Hunting for Persistence](https://www.secureworks.com/research/bronze-union) - [Kaspersky - LuckyMouse hits national data center](https://securelist.com/luckymouse-hits-national-data-center/86083/)