s0475-backconfig - RunkIntel

# BackConfig > Tipo: **malware** · S0475 · [MITRE ATT&CK](https://attack.mitre.org/software/S0475) ## Descrição [[s0475-backconfig|BackConfig]] é um Trojan personalizado com arquitetura de plugins flexível utilizado pelo [[g0040-patchwork|Patchwork]] (também conhecido como Dropping Elephant, Chinastrats e Monsoon), um grupo APT de origem indiana. O BackConfig é implantado em alvos de interesse via macros de templates do Office ([[t1137-001-office-template-macros|T1137.001]]) ou documentos maliciosos, funcionando como backdoor de segunda fase após comprometimento inicial. Sua arquitetura modular permite ao operador personalizar funcionalidades carregando plugins específicos para cada alvo. O BackConfig oferece execução de comandos via [[t1059-003-windows-command-shell|Windows Command Shell]] e [[t1059-005-visual-basic|Visual Basic]], transferência de ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]) e coleta de dados do sistema local ([[t1082-system-information-discovery|T1082]], [[t1083-file-and-directory-discovery|T1083]]). Para persistência, utiliza tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]) e arquivos ocultos ([[t1564-001-hidden-files-and-directories|T1564.001]]). Emprega assinatura de código ([[t1553-002-code-signing|T1553.002]]) para parecer legítimo e obfusca comandos ([[t1027-010-command-obfuscation|T1027.010]]) para evasão. O C2 opera via HTTP ([[t1071-001-web-protocols|T1071.001]]) com mascaramento de nome de processo ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]). O [[g0040-patchwork|Patchwork]] é atribuído à Índia e foca em espionagem contra alvos no Paquistão, China e outros países do Sul da Ásia com interesse em assuntos políticos e militares. Campanhas documentadas em 2021-2022 utilizaram o BackConfig contra ministérios de defesa e forças armadas de países vizinhos à Índia, além de instituições de pesquisa militar. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1106-native-api|T1106 - Native API]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1137-001-office-template-macros|T1137.001 - Office Templaté Macros]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] ## Grupos que Usam - [[g0040-patchwork|Patchwork]] ## Detecção - **Sysmon Event ID 15** (FileCreateStreamHash): monitorar criação de arquivos maliciosos via macro do Office; alertar sobre execução de processos filhos a partir de `winword.exe` ou `excel.exe`. - **Sysmon Event ID 4698** (Task Created): alertar sobre criação de tarefas agendadas por processos do Office ou scripts - mecanismo de persistência principal do BackConfig. - **EDR telemetria**: detectar uso de `mshta.exe` ou `wscript.exe` invocado por macros do Office para baixar e executar payloads remotos. - **Referência Sigma**: `proc_creation_win_office_macro_shell.yml` - execução de shell a partir de processos Office; e `sysmon_scheduled_task_creation.yml` para tarefas agendadas suspeitas. ## Relevância LATAM/Brasil O [[g0040-patchwork|Patchwork]] opera com foco em espionagem regional no Sul da Ásia, sem histórico de campanhas na América Latina ou no Brasil. O BackConfig é relevante para equipes de CTI brasileiras como exemplo de backdoor modular APT e para entender a cadeia de ataque típica do Patchwork. Organizações brasileiras do setor de defesa e diplomático com relações com países do Sul da Ásia devem monitorar ferramentas deste grupo como referência. ## Referências - [MITRE ATT&CK - S0475](https://attack.mitre.org/software/S0475)