s0431-hotcroissant

# HotCroissant > Tipo: **malware** · S0431 · [MITRE ATT&CK](https://attack.mitre.org/software/S0431) ## Descrição [[s0431-hotcroissant|HotCroissant]] é um trojan de acesso remoto (RAT) atribuído por agências governamentais dos EUA à atividade cibernética maliciosa do governo norte-coreano, rastreada coletivamente como HIDDEN COBRA. O [[s0431-hotcroissant|HotCroissant]] compartilha diversas semelhanças de código com o [[s0433-rifdoor|Rifdoor]], sugerindo um framework de desenvolvimento compartilhado ou uma base de código comum entre os dois implants - prática comum no arsenal do [[g0032-lazarus-group|Lazarus Group]]. O malware opera como um RAT completo para plataformas Windows, empregando criptografia simétrica (via [[t1573-001-symmetric-cryptography|T1573.001]]) para proteger as comúnicações com seu servidor de comando e controle. Para exfiltrar dados coletados, utiliza o [[t1041-exfiltration-over-c2-channel|T1041]], transmitindo informações do sistema operacional, processos em execução ([[t1057-process-discovery|T1057]]), serviços instalados ([[t1007-system-service-discovery|T1007]]) e jánelas abertas ([[t1010-application-window-discovery|T1010]]) diretamente pelo canal C2 estabelecido. Para evasão e anti-análise, o [[s0431-hotcroissant|HotCroissant]] utiliza empacotamento de software ([[t1027-002-software-packing|T1027.002]]) e armazena payloads em arquivos cifrados ([[t1027-013-encryptedencoded-file|T1027.013]]). Após concluir suas operações, o malware pode deletar a si mesmo via [[t1070-004-file-deletion|T1070.004]] e encerrar serviços críticos do sistema ([[t1489-service-stop|T1489]]), dificultando a análise forense pós-incidente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1106-native-api|T1106 - Native API]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1518-software-discovery|T1518 - Software Discovery]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção - **Fonte de dados:** Monitorar criação e execução de processos (Windows Event ID 4688) em busca de executáveis empacotados sem editoras verificadas - típico do uso de [[t1027-002-software-packing|T1027.002]] - **EDR telemetria:** Alertar sobre chamadas à Native API (CreateProcess, VirtualAlloc) originadas de processos sem assinatura digital; correlacionar com tráfego de rede criptografado não-HTTP para C2 via [[t1573-001-symmetric-cryptography|T1573.001]] - **Event ID 7045 / SCM:** Registros de instalação de novo serviço (Service Control Manager) associados ao [[t1489-service-stop|T1489]] - monitorar serviços encerrados abruptamente por processo não-sistema - **Regra Sigma:** `sigma/rules/windows/process_creation/proc_creation_win_pua_softpaq.yml` - detecta binários empacotados suspeitos; adaptar para correlacionar com deleção de arquivo próprio pós-execução ## Relevância LATAM/Brasil O [[s0431-hotcroissant|HotCroissant]] é parte do arsenal do [[g0032-lazarus-group|Lazarus Group]], grupo norte-coreano com histórico de campanhas financeiramente motivadas que atingem o setor financeiro e de criptomoedas na América Latina. O Brasil é um dos países com maior penetração de exchanges de criptomoedas na região, tornando organizações do [[financial|setor financeiro]] e plataformas de ativos digitais brasileiras alvos potenciais das campanhas HIDDEN COBRA. A técnica de reconhecimento extensivo - enumeração de processos, serviços e jánelas - é característica de intrusões que precedem roubo financeiro, padrão já documentado em ataques a bancos latino-americanos atribuídos ao Lazarus. ## Referências - [MITRE ATT&CK - S0431](https://attack.mitre.org/software/S0431)