# Waterbear > Tipo: **malware** · S0579 · [MITRE ATT&CK](https://attack.mitre.org/software/S0579) ## Descrição [[s0579-waterbear|Waterbear]] é um malware modular atribuído ao [[g0098-blacktech|BlackTech]], grupo APT de origem chinesa/taiwanesa, utilizado principalmente para movimentação lateral, descriptografia e execução de payloads, além de possuir capacidade de ocultar comportamentos de rede de ferramentas de monitoramento. O malware tem sido documentado em campanhas contra organizações nos setores de tecnologia, governo e defesa no Leste Asiático. Do ponto de vista técnico, o Waterbear utiliza DLL hijacking para execução e thread execution hijacking para injetar código em processos legítimos do sistema, tornando-o difícil de detectar. O malware bloqueia ativamente indicadores de comprometimento e remove rastros de suas ferramentas (indicator removal from tools), demonstrando sofisticação no design voltado para evasão de detecção pós-comprometimento. Adicionalmente, realiza descoberta de software de segurança instalado antes de realizar operações mais invasivas, indicando um design cuidadoso para adaptar comportamento conforme o ambiente. A arquitetura modular do Waterbear permite ao [[g0098-blacktech|BlackTech]] adicionar funcionalidades específicas conforme o alvo, tornando cada implant personalizado. Estudos da ESET e outras empresas de segurança identificaram múltiplas versões do Waterbear em uso simultâneo, sugerindo desenvolvimento ativo e adaptação contínua para superar defesas atualizadas. Esta ferramenta exemplifica o nível de maturidade técnica do BlackTech em suas operações de espionagem de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1574-001-dll|T1574.001 - DLL]] - [[t1055-003-thread-execution-hijacking|T1055.003 - Thread Execution Hijacking]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1562-006-indicator-blocking|T1562.006 - Indicator Blocking]] - [[t1106-native-api|T1106 - Native API]] - [[t1027-005-indicator-removal-from-tools|T1027.005 - Indicator Removal from Tools]] ## Grupos que Usam - [[g0098-blacktech|BlackTech]] ## Detecção A detecção do Waterbear requer monitoramento de DLL hijacking (carregamento de DLLs de locais não esperados), injeção de código em threads de processos legítimos, e modificações de registro realizadas por processos de sistema. A capacidade do malware de bloquear indicadores torna o monitoramento de integridade de processos via EDR especialmente importante. Análise de memória de processos para identificar código injetado e monitoramento de comportamento de descoberta de rede são abordagens complementares. ## Relevância LATAM/Brasil O [[g0098-blacktech|BlackTech]] tem foco primário em organizações do Leste Asiático (Taiwan, Jápão, EUA), mas sua operação em cadeias de suprimentos de tecnologia pode afetar subsidiárias e parceiros globais de empresas-alvo. Organizações brasileiras com parceiros ou fornecedores de tecnologia no Leste Asiático devem considerar o risco de comprometimento via terceiros. A CISA públicou advisory conjunto sobre o BlackTech em 2023, alertando especialmente para ataques via roteadores corporativos - infraestrutura amplamente utilizada no Brasil. ## Referências - [MITRE ATT&CK - S0579](https://attack.mitre.org/software/S0579)