s0622-appleseed - RunkIntel

# AppleSeed > Tipo: **malware** · S0622 · [MITRE ATT&CK](https://attack.mitre.org/software/S0622) ## Descrição [[s0622-appleseed|AppleSeed]] é um backdoor modular utilizado pelo [[g0094-kimsuky|Kimsuky]] para atacar alvos governamentais, acadêmicos e comerciais na Coreia do Sul desde pelo menos 2021. O [[g0094-kimsuky|Kimsuky]] é um grupo de espionagem cibernética vinculado à Coreia do Norte com histórico de operações de coleta de inteligência, e o [[s0622-appleseed|AppleSeed]] é uma de suas ferramentas mais empregadas para manter acesso persistente em ambientes comprometidos. O backdoor é entregue via [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] e suporta execução de JavaScript e PowerShell ([[t1059-007-javascript|T1059.007]] e [[t1059-001-powershell|T1059.001]]). Possui capacidades de keylogging via [[t1056-001-keylogging|T1056.001 - Keylogging]], coleta automatizada de dados com [[t1119-automated-collection|T1119 - Automated Collection]], e exfiltra informações para serviços web legítimos via [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]], dificultando a detecção por soluções de DLP. A variante Android amplia o vetor de ataque para dispositivos móveis. **Plataformas:** Windows, Android ## Técnicas Utilizadas - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] ## Grupos que Usam - [[g0094-kimsuky|Kimsuky]] ## Referências - [MITRE ATT&CK - S0622](https://attack.mitre.org/software/S0622)