# USBferry > Tipo: **malware** · S0452 · [MITRE ATT&CK](https://attack.mitre.org/software/S0452) ## Descrição [[s0452-usbferry|USBferry]] é um malware de roubo de informações utilizado pelo [[g0081-tropic-trooper|Tropic Trooper]] em ataques direcionados a ambientes militares taiwaneses e filipinos com air-gap. O [[s0452-usbferry|USBferry]] compartilha código com o [[s0388-yahoyah|YAHOYAH]], embora possua características que o tornam uma peça distinta de malware, especialmente em sua capacidade de operar em redes isoladas fisicamente da internet. O malware é projetado específicamente para cruzar gaps de air-gap via mídia removível USB, coletando arquivos de interesse em sistemas desconectados e exfiltrando-os quando a mídia é conectada a um sistema com acesso à rede. Para isso, o USBferry realiza reconhecimento extenso do sistema alvo - descoberta de contas locais, sistemas remotos, dispositivos periféricos, arquivos e conexões de rede - para identificar e priorizar dados de alto valor antes de copiá-los para o dispositivo USB. A técnica de air-gap bridging via USB é uma das mais sofisticadas em operações de espionagem cibernética, tipicamente empregada por grupos APT com mandato de estado-nação em operações de inteligência contra alvos militares e governamentais de alta segurança. O [[g0081-tropic-trooper|Tropic Trooper]] demonstra capacidade técnica elevada ao desenvolver e operar esta ferramenta em ambientes altamente restritivos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] ## Grupos que Usam - [[g0081-tropic-trooper|Tropic Trooper]] ## Detecção A detecção do USBferry requer controles específicos para ambientes air-gapped: monitoramento de todas as conexões de dispositivos USB, análise de arquivos copiados para mídias removíveis, auditoria de execução de DLLs via Rundll32 e monitoramento de criação de arquivos em localidades incomuns. Em ambientes militares e governamentais, a política de controle de dispositivos removíveis (bloqueio total ou whitelist de dispositivos aprovados) é a mitigação mais eficaz contra este tipo de ameaça. ## Relevância LATAM/Brasil Ambientes militares e governamentais brasileiros que operam redes air-gapped para proteção de informações classificadas são potencialmente vulneráveis a técnicas similares às do USBferry. O Ministério da Defesa e órgãos de inteligência brasileiros devem considerar esta classe de ameaça em suas avaliações de risco, especialmente dado o crescente interesse de atores APT asiáticos em alvos de defesa na América Latina. Políticas rígidas de controle de mídia removível são essenciais nesses ambientes. ## Referências - [MITRE ATT&CK - S0452](https://attack.mitre.org/software/S0452)