s0643-peppy - RunkIntel

# Peppy > Tipo: **malware** · S0643 · [MITRE ATT&CK](https://attack.mitre.org/software/S0643) ## Descrição [[s0643-peppy|Peppy]] é um RAT (trojan de acesso remoto) baseado em Python, ativo desde pelo menos 2012, com semelhanças funcionais ao [[crimson|Crimson]] RAT e utilizado pelo [[g0134-transparent-tribe|Transparent Tribe]] (APT36). Desenvolvido em Python e frequentemente distribuído como executável compilado com PyInstaller, o Peppy é um dos RATs mais antigos no arsenal do grupo, demonstrando o compromisso do [[g0134-transparent-tribe|Transparent Tribe]] com ferramentas de longa data aprimoradas ao longo do tempo. O Peppy oferece capacidades de keylogging, captura de tela, exfiltração automatizada de arquivos e execução remota de comandos shell. A exfiltração é automatizada - os dados são continuamente coletados e enviados ao C2 sem necessidade de comandos explícitos do operador - o que maximiza a coleta mesmo durante períodos de menor supervisão ativa. O [[g0134-transparent-tribe|Transparent Tribe]] (de origem paquistanesa) foca em espionagem contra alvos indianos, especialmente pessoal militar, agências governamentais e think tanks relacionados à política de defesa da Índia. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0134-transparent-tribe|Transparent Tribe]] ## Detecção - Detectar executáveis Python compilados (PyInstaller) sem assinatura digital ([[t1059-003-windows-command-shell|T1059.003]]) - Monitorar hooks de teclado via SetWindowsHookEx por processos suspeitos ([[t1056-001-keylogging|T1056.001]]) - Alertar para exfiltração contínua e periódica de dados via HTTP ([[t1020-automated-exfiltration|T1020]]) - Identificar capturas de tela automatizadas por processos em segundo plano ([[t1113-screen-capture|T1113]]) ## Relevância LATAM/Brasil RATs baseados em Python como o Peppy são utilizados em campanhas de espionagem e crime cibernético contra alvos brasileiros. A simplicidade de desenvolvimento e distribuição de RATs Python torna esta categoria de ameaça comum em campanhas direcionadas ao Brasil, especialmente contra servidores públicos, jornalistas e executivos corporativos. O uso de PyInstaller para criar executáveis standalone dificulta a detecção por soluções que não analisam comportamento de runtime. ## Referências - [MITRE ATT&CK - S0643](https://attack.mitre.org/software/S0643)