# SHARPSTATS > Tipo: **malware** · S0450 · [MITRE ATT&CK](https://attack.mitre.org/software/S0450) ## Descrição [[s0450-sharpstats|SHARPSTATS]] é um backdoor .NET utilizado pelo [[g0069-mango-sandstorm|MuddyWater]] - grupo de espionagem cibernética atribuído ao Ministério de Inteligência e Segurança do Irã (MOIS) - desde pelo menos 2019. O [[g0069-mango-sandstorm|MuddyWater]] é um dos grupos APT iranianos mais prolíficos, com campanhas documentadas contra governos, telecomúnicações, setor de defesa e infraestrutura crítica no Oriente Médio, Ásia Central, Europa e América do Norte. O [[s0450-sharpstats|SHARPSTATS]] é projetado como uma ferramenta de reconhecimento e acesso inicial - sua funcionalidade principal é coletar informações extensas sobre o sistema comprometido (usuário, rede, processos, configuração de sistema e horário) e transmiti-las ao servidor C2, permitindo que os operadores do [[g0069-mango-sandstorm|MuddyWater]] avaliem o valor do alvo antes de implantar ferramentas mais pesadas. Esse modelo de triagem é uma característica operacional madura que minimiza a exposição de ferramentas mais valiosas do arsenal do grupo. O uso pesado de ofuscação de comandos PowerShell ([[t1027-010-command-obfuscation|T1027.010]]) é uma marca registrada do [[g0069-mango-sandstorm|MuddyWater]] e é particularmente presente no [[s0450-sharpstats|SHARPSTATS]], dificultando análise estática e detecção por regras baseadas em assinaturas de PowerShell. O malware foi frequentemente distribuído via documentos maliciosos do Office ou scripts PowerShell enviados por phishing, alinhado com o vetor de entrega preferido do grupo. A capacidade de download de payloads adicionais ([[t1105-ingress-tool-transfer|T1105]]) indica seu papel como primeiro estágio em operações mais amplas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] ## Grupos que Usam - [[g0069-mango-sandstorm|MuddyWater]] ## Detecção - Implementar Script Block Logging e Module Logging do PowerShell para capturar comandos obfuscados antes da deobfuscação - Detectar padrões de obfuscação PowerShell conhecidos (concatenação de strings, encoding Base64, uso de `IEX`) - Monitorar scripts PowerShell que realizam múltiplas chamadas de WMI e network discovery em sequência - Alertar sobre download de binários .NET executáveis via comandos PowerShell - Implementar detecção de AMSI (Antimalware Scan Interface) para inspecionar scripts PowerShell em memória antes da execução ## Relevância LATAM/Brasil O [[g0069-mango-sandstorm|MuddyWater]] tem expandido suas operações além do Oriente Médio, e o perfil de alvos do grupo - telecomúnicações, governo e defesa - é relevante para o Brasil. A técnica de obfuscação de PowerShell utilizada no [[s0450-sharpstats|SHARPSTATS]] é amplamente replicada por grupos de crimes cibernéticos que operam no Brasil, tornando as capacidades de detecção de PowerShell obfuscado diretamente aplicáveis ao cenário de ameaças nacional. O modelo de triagem do SHARPSTATS - coletar informações antes de implantar ferramentas pesadas - é uma indicação madura de operações profissionais que as equipes de defesa brasileiras devem reconhecer como indicador de comprometimento avançado. ## Referências - [MITRE ATT&CK - S0450](https://attack.mitre.org/software/S0450)