s0435-plead - RunkIntel

# PLEAD > Tipo: **malware** · S0435 · [MITRE ATT&CK](https://attack.mitre.org/software/S0435) ## Descrição [[s0435-plead|PLEAD]] é uma ferramenta de acesso remoto (RAT) e downloader utilizado pelo [[g0098-blacktech|BlackTech]] em ataques direcionados no Leste Asiático, incluindo Taiwan, Jápão e Hong Kong, com observações desde março de 2017. O PLEAD foi referênciado como [[s0436-tscookie|TSCookie]] em alguns relatórios, embora análises mais recentes indiquem que se tratam de ferramentas distintas do mesmo arsenal - com PLEAD sendo o downloader de primeiro estágio e TSCookie um backdoor de segundo estágio separado. O PLEAD se destaca pelo uso de junk data ([[t1001-001-junk-data|T1001.001]]) para obfuscar o tráfego C2 e dificultar análise em IDS/IPS baseados em assinaturas. O malware é capaz de roubar credenciais de navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]) e gerenciadores de senha ([[t1555-credentials-from-password-stores|T1555]]), além de realizar reconhecimento do sistema e download de payloads adicionais. A entrega ocorre via links e anexos maliciosos em campanhas de spearphishing altamente direcionadas. O [[g0098-blacktech|BlackTech]] (também rastreado como Circuit Panda, HUAPI ou Manga Taurus) é um grupo de espionagem cibernética alinhado à China com foco em roubo de propriedade intelectual e espionagem governamental no Leste Asiático. Em 2023, a NSA, CISA, FBI e parceiros do Jápão emitiram um alerta conjunto documentando operações recentes do BlackTech comprometendo roteadores Cisco para pivoteamento de rede - expandindo o alcance do grupo além dos backdoors de endpoint como o PLEAD. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1090-proxy|T1090 - Proxy]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1001-001-junk-data|T1001.001 - Junk Data]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1106-native-api|T1106 - Native API]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] ## Grupos que Usam - [[g0098-blacktech|BlackTech]] ## Detecção **Fontes de dados recomendadas:** - **Rede:** Tráfego HTTP com payload misturado a junk data - padrão de obfuscação via T1001.001; análise de entropia de payloads HTTP para detectar dados codificados - **Sysmon Event ID 11 (FileCreaté):** Criação de arquivos com extensões duplas (ex: `.pdf.exe`) em diretórios temporários - padrão de entrega do PLEAD via links maliciosos - **Windows Browser Artifacts:** Acesso anômalo a arquivos de banco de dados de senhas de Chrome/Firefox/Edge por processo não-navegador **Regras de detecção:** - YARA: Strings de configuração interna e constantes de criptografia RC4 do PLEAD identificadas pela JPCERT/CC e Trend Micro - Sigma: Detecção de processo criando arquivo executável em `%TEMP%` após abertura de documento Office - padrão de entrega via macro ## Relevância LATAM/Brasil O [[g0098-blacktech|BlackTech]] opera primariamente no Leste Asiático, mas o alerta NSA/CISA/FBI de 2023 sobre comprometimento de roteadores Cisco indica expansão de infraestrutura global. Subsidiárias de multinacionais jáponesas e taiwanesas com operações no Brasil podem servir como vetor de entrada para o BlackTech atingir redes corporativas LATAM. Além disso, as TTPs do PLEAD - phishing direcionado, roubo de credenciais de navegadores e uso de proxies - são amplamente replicadas por grupos que operam diretamente contra o Brasil. ## Referências - [MITRE ATT&CK - S0435](https://attack.mitre.org/software/S0435) - [JPCERT/CC - PLEAD Downloader Used by BlackTech](https://blogs.jpcert.or.jp/en/2018/06/plead-downloader-used-by-blacktech.html) - 2018 - [NSA/CISA/FBI Advisory - BlackTech Cisco Router Compromise](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a) - Setembro 2023