# GoldFinder > Tipo: **ferramenta de rastreamento de rede** · S0597 · [MITRE ATT&CK](https://attack.mitre.org/software/S0597) ## Descrição [[s0597-goldfinder|GoldFinder]] é uma ferramenta de rastreamento HTTP personalizada escrita em Go, desenvolvida pelo [[g0016-apt29|APT29]] (Nobelium, Cozy Bear) e descoberta durante a investigação do [[solarwinds-compromise|SolarWinds Compromise]] em 2021. O propósito específico do [[s0597-goldfinder|GoldFinder]] é registrar a rota completa percorrida por um pacote de rede entre uma máquina comprometida e um servidor C2, identificando todos os proxies, firewalls e sistemas de inspeção que o tráfego atravéssa. Esta funcionalidade permite ao operador mapear a infraestrutura de segurança da vítima e identificar potenciais pontos de detecção das comúnicações C2. O [[s0597-goldfinder|GoldFinder]] serve como ferramenta de reconhecimento operacional - não coleta dados da vítima, mas ajuda o operador a entender o caminho de rede e os controles de segurança que pode precisar contornar. Ao identificar proxies e inspeção de conteúdo no caminho, os atacantes podem adaptar suas técnicas de C2 (como o [[s0588-goldmax|GoldMax]]) para melhor evadir detecção. Esta abordagem metódica é característica do [[g0016-apt29|APT29]], que investe significativamente em compreender e adaptar-se ao ambiente defensivo do alvo antes de executar operações mais ruidosas. A descoberta do [[s0597-goldfinder|GoldFinder]] como parte do toolkit do SolarWinds Compromise revelou a profundidade do planejamento operacional do [[g0016-apt29|APT29]]: o grupo não apenas compromete sistemas, mas desenvolve ferramentas especializadas para mapear e neutralizar defesas específicas de cada ambiente alvo. O SolarWinds Compromise é considerado uma das operações de espionagem mais sofisticadas já documentadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1016-001-internet-connection-discovery|T1016.001 - Internet Connection Discovery]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção > [!tip] Indicadores de Detecção > - Detectar ferramentas de rastreamento HTTP (traceroute HTTP) executadas por processos não-administrativos > - Monitorar binários Go que realizam múltiplas requisições HTTP sequenciais para diferentes destinos > - Alertar sobre presença de qualquer componente do arsenal SolarWinds (SUNBURST, GoldMax, GoldFinder) - indica comprometimento de alto nível > - Implementar inventário de ferramentas instaladas em sistemas críticos para detectar introdução de binários Go incomuns > - Correlacionar com outros indicadores do APT29 - o GoldFinder tipicamente co-ocorre com outros implantes ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] e a operação SolarWinds demonstraram que a exploração de cadeia de suprimentos de software pode comprometer simultaneamente milhares de organizações ao redor do mundo, incluindo no Brasil. Organizações brasileiras que utilizavam o software SolarWinds Orion para monitoramento de rede foram potencialmente expostas ao toolkit do APT29. O [[s0597-goldfinder|GoldFinder]] como ferramenta de mapeamento de infraestrutura defensiva é um indicador sofisticado que sugere um ator altamente profissional investigando o ambiente antes de escalar o comprometimento. ## Referências - [MITRE ATT&CK - S0597](https://attack.mitre.org/software/S0597) - [Microsoft MSTIC - SolarWinds Toolkit Analysis](https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malwares-toolkit/)