s0414-babyshark - RunkIntel

# BabyShark > Tipo: **malware** · S0414 · [MITRE ATT&CK](https://attack.mitre.org/software/S0414) ## Descrição [[s0414-babyshark|BabyShark]] é uma família de malware baseada em script Microsoft Visual Basic (VB) associada ao grupo norte-coreano [[g0094-kimsuky|Kimsuky]], utilizada em campanhas de espionagem desde pelo menos 2018. O BabyShark é tipicamente entregue via e-mails de spearphishing com anexos maliciosos (documentos Word ou HWP - processador de texto coreano) que executam o script VBScript ao serem abertos. O malware é projetado para reconhecimento inicial e estabelecimento de canal C2, funcionando como implante de primeira fase que verifica o ambiente e baixa ferramentas adicionais. Funcionalmente, o BabyShark realiza coleta abrangente de informações do sistema comprometido: usuário ([[t1033-system-owneruser-discovery|T1033]]), processos ([[t1057-process-discovery|T1057]]), arquivos ([[t1083-file-and-directory-discovery|T1083]]), configurações de rede ([[t1016-system-network-configuration-discovery|T1016]]), registro ([[t1012-query-registry|T1012]]) e informações do OS ([[t1082-system-information-discovery|T1082]]). Utiliza Mshta para execução de scripts ([[t1218-005-mshta|T1218.005]]), HTA e VBScript para persistência e evasão de ferramentas de segurança que monitoram apenas executáveis. Para persistência, registra-se em chaves de startup do registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e cria tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]). O [[g0094-kimsuky|Kimsuky]] é um grupo APT norte-coreano que opera com foco em espionagem contra think tanks, entidades governamentais, diplomatas e organizações relacionadas à Coreia do Sul e seus aliados. O BabyShark foi identificado em campanhas contra pesquisadores de política nuclear, organizações de segurança nacional dos EUA e entidades sul-coreanas. O malware é frequentemente combinado com outras ferramentas do Kimsuky como o PowerShell RAT Gold Dragon. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1218-005-mshta|T1218.005 - Mshta]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Grupos que Usam - [[g0094-kimsuky|Kimsuky]] ## Detecção - **Sysmon Event ID 1** (Process Creation): alertar sobre execução de `mshta.exe` com URLs externas ou arquivos `.hta` a partir de diretórios temporários ou AppData - vetor de execução primário do BabyShark. - **Sysmon Event ID 13** (Registry Value Set): monitorar criação de valores de startup em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por processos de script (wscript, mshta, cscript). - **EDR telemetria**: detectar execução de VBScript ou PowerShell com codificação base64 seguida de conexão HTTP a domínios recém-registrados - padrão de beaconing do BabyShark. - **Referência Sigma**: `proc_creation_win_mshta_susp_execution.yml` - execução suspeita de Mshta; e `sysmon_startup_run_key_creation.yml` para persistência via registro. ## Relevância LATAM/Brasil O [[g0094-kimsuky|Kimsuky]] foca em alvos com relevância geopolítica para a Coreia do Norte, especialmente think tanks, universidades, entidades governamentais e pesquisadores de política nuclear e segurança em países aliados dos EUA e da Coreia do Sul. Não há registros de campanhas do BabyShark direcionadas ao Brasil ou à América Latina. Pesquisadores brasileiros de relações internacionais que trabalham com questões da península coreana ou organizações com interesse em desnuclearização podem ser alvos periféricos de interesse para o Kimsuky. ## Referências - [MITRE ATT&CK - S0414](https://attack.mitre.org/software/S0414)