s0553-molenet - RunkIntel

# MoleNet > Tipo: **malware** · S0553 · [MITRE ATT&CK](https://attack.mitre.org/software/S0553) ## Descrição [[s0553-molenet|MoleNet]] é uma ferramenta de downloader com capacidades de backdoor utilizada pelos [[g0021-molerats|Molerats]] (também conhecidos como Gaza Cybergang, Extreme Jáckal e TA402), grupo de ciberespionagem de origem palestina ativo desde pelo menos 2012. Observada em operações desde pelo menos 2019, o MoleNet serve como componente de acesso inicial e persistência que prepara o terreno para ferramentas mais avançadas de coleta de inteligência. O MoleNet realiza reconhecimento inicial do ambiente comprometido através de coleta de informações do sistema ([[t1082-system-information-discovery|T1082]]) e verificação de software de segurança instalado ([[t1518-001-security-software-discovery|T1518.001]]). Para manter acesso persistente, usa chaves de autorun no registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e executa comandos via PowerShell ([[t1059-001-powershell|T1059.001]]) e CMD ([[t1059-003-windows-command-shell|T1059.003]]). O uso de WMI ([[t1047-windows-management-instrumentation|T1047]]) para operações de sistema e o download de payloads adicionais ([[t1105-ingress-tool-transfer|T1105]]) completam suas capacidades operacionais. O MoleNet é frequentemente usado em campanhas direcionadas a alvos governamentais, militares e de política no Oriente Médio, especialmente em países como Egito, Arábia Saudita, Emirados Árabes Unidos, Jordânia e Palestina. Sua função como downloader inicial permite que os operadores avaliem o valor do alvo antes de implantar ferramentas mais sofisticadas e arriscadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] ## Grupos que Usam - [[g0021-molerats|Molerats]] ## Detecção A detecção do MoleNet envolve monitoramento de scripts PowerShell que fazem download de payloads de URLs remotas ([[t1059-001-powershell|T1059.001]]), criação de entradas de autorun no registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e consultas WMI anômalas ([[t1047-windows-management-instrumentation|T1047]]). O acesso sistemático a informações de software de segurança ([[t1518-001-security-software-discovery|T1518.001]]) por processos desconhecidos é um indicador comportamental relevante. IOCs do MoleNet estão disponíveis em relatórios públicos da Cybereason e Kaspersky sobre campanhas dos [[g0021-molerats|Molerats]]. ## Relevância LATAM/Brasil Os [[g0021-molerats|Molerats]] têm foco no Oriente Médio, mas campanhas de espionagem com motivação política frequentemente se expandem para outros países com conexões diplomáticas com Israel ou Palestina. Organizações brasileiras com envolvimento em questões do Oriente Médio, ONGs de direitos humanos e embaixadas no Brasil são alvos potenciais. Além disso, as TTPs dos Molerats - downloader + persistência + reconhecimento de AV - são amplamente replicadas por grupos de crime cibernético que operam no Brasil. ## Referências - [MITRE ATT&CK - S0553](https://attack.mitre.org/software/S0553)