# RegDuke > Tipo: **malware** · S0511 · [MITRE ATT&CK](https://attack.mitre.org/software/S0511) ## Descrição [[s0511-regduke|RegDuke]] é um implant de primeiro estágio escrito em .NET utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear) desde pelo menos 2017. O RegDuke foi projetado específicamente para manter controle de uma máquina comprometida quando implants de estágio superior perdem conectividade ou são removidos - funcionando como um "seguro de persistência" que o APT29 mantém dormindo em sistemas de alto valor. O RegDuke usa o Registro do Windows como armazenamento fileless ([[t1027-011-fileless-storage|T1027.011]]) para seus componentes, evitando deixar arquivos em disco que poderiam ser detectados por scanners. A comunicação C2 usa serviços web bidirecionais legítimos ([[t1102-002-bidirectional-communication|T1102.002]]) como Dropbox para receber comandos, combinado com esteganografia ([[t1027-003-steganography|T1027.003]]) para ocultar dados em imagens. A persistência é garantida via WMI Event Subscription ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) - um mecanismo de persistência frequentemente ignorado por ferramentas de segurança convencionais. O PowerShell ([[t1059-001-powershell|T1059.001]]) é usado para execução de comandos recebidos do C2, e as respostas são codificadas e ofuscadas ([[t1140-deobfuscatedecode-files-or-information|T1140]]) antes de serem exfiltradas via o mesmo canal de comunicação legítimo. Esta arquitetura torna o RegDuke excepcionalmente resiliente a esforços de remoção e difícil de detectar em ambientes corporativos complexos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - Windows Management Instrumentation Event Subscription]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção A detecção do RegDuke é desafiante por seu design fileless. Monitorar WMI Event Subscriptions criadas por processos não esperados ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) é um indicador forte. Tráfego anômalo para serviços de nuvem como Dropbox por processos do sistema ([[t1102-002-bidirectional-communication|T1102.002]]) deve acionar alertas. Ferramentas de detecção de persistência WMI (como Autoruns da Sysinternals) podem revelar assinaturas de eventos maliciosas. Análise de conteúdo em imagens exfiltradas para detectar esteganografia requer ferramentas especializadas de DLP. ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] realiza operações de espionagem de longo prazo contra governos, organizações diplomáticas e centros de pesquisa globalmente. O RegDuke, como mecanismo de persistência de último recurso, seria implantado em alvos de máxima prioridade - um perfil que inclui agências governamentais brasileiras de inteligência, defesa e relações exteriores. A técnica de comunicação via serviços de nuvem legítimos é particularmente eficaz no Brasil, onde o bloqueio de serviços como Dropbox seria técnicamente e politicamente difícil de implementar em ambientes corporativos. ## Referências - [MITRE ATT&CK - S0511](https://attack.mitre.org/software/S0511)