# Rifdoor > Tipo: **malware** · S0433 · [MITRE ATT&CK](https://attack.mitre.org/software/S0433) ## Descrição [[s0433-rifdoor|Rifdoor]] é um trojan de acesso remoto (RAT) utilizado pelo [[g0138-andariel|Andariel]], subgrupo do [[g0032-lazarus-group|Lazarus Group]] norte-coreano especializado em operações financeiras e de espionagem. O Rifdoor compartilha númerosas similaridades de código com o [[s0431-hotcroissant|HotCroissant]], outro RAT associado ao mesmo ator, sugerindo desenvolvimento a partir de uma base de código comum ou por desenvolvedores compartilhados. O Rifdoor é distribuído via spear-phishing com anexos maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]) que requerem interação do usuário para execução ([[t1204-002-malicious-file|T1204.002]]). Uma vez instalado, o malware usa criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) para proteger comúnicações C2, aplica padding a binários ([[t1027-001-binary-padding|T1027.001]]) para dificultar análise por hash, e arquiva dados cifrados ([[t1027-013-encryptedencoded-file|T1027.013]]) antes da exfiltração. O RAT realiza reconhecimento do sistema ([[t1082-system-information-discovery|T1082]]), configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]) e usuário logado ([[t1033-system-owneruser-discovery|T1033]]) para perfilar o ambiente comprometido. A persistência é estabelecida via chaves de Run no Registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]), garantindo sobrevivência a reinicializações do sistema. O Rifdoor foi identificado em campanhas do [[g0138-andariel|Andariel]] contra organizações na Coreia do Sul, incluindo instituições de defesa e financeiras - em linha com o foco do grupo em obter fundos para o regime norte-coreano e realizar sabotagem. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1027-001-binary-padding|T1027.001 - Binary Padding]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] ## Grupos que Usam - [[g0138-andariel|Andariel]] ## Detecção Detectar o Rifdoor requer monitoramento de anexos de e-mail executáveis ou documentos com macros ([[t1566-001-spearphishing-attachment|T1566.001]]) e execução de arquivos de localização incomum por usuários. Alertas para processos que criam chaves de Run no Registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e comunicação de saída cifrada para endereços externos não reconhecidos são indicadores relevantes. Análise de arquivos binários com padding excessivo ([[t1027-001-binary-padding|T1027.001]]) pode identificar amostras do Rifdoor antes da execução. ## Relevância LATAM/Brasil O [[g0138-andariel|Andariel]], como subgrupo do [[g0032-lazarus-group|Lazarus Group]], representa uma ameaça ao setor financeiro e de criptomoedas brasileiro. O interesse do Lazarus Group em exchanges e plataformas financeiras globalmente inclui alvos latino-americanos. O Rifdoor, como ferramenta de acesso inicial do grupo, poderia ser utilizado em campanhas de spear-phishing contra executivos de bancos, exchanges de criptomoedas e plataformas fintech brasileiras - vetores de ataque alinhados com o histórico operacional do Andariel. ## Referências - [MITRE ATT&CK - S0433](https://attack.mitre.org/software/S0433)