s1012-powerless - RunkIntel

# PowerLess > Tipo: **malware** · S1012 · [MITRE ATT&CK](https://attack.mitre.org/software/S1012) ## Descrição [[s1012-powerless|PowerLess]] é um backdoor modular baseado em PowerShell utilizado pelo [[g0059-magic-hound|Magic Hound]] - grupo iraniano vinculado ao APT35 - desde pelo menos 2022 em campanhas de espionagem contra alvos nos setores de saúde, serviços financeiros e governo. O malware implementa múltiplas funcionalidades em um único componente PowerShell ofuscado ([[t1140-deobfuscatedecode-files-or-information|T1140]]), incluindo keylogging ([[t1056-001-keylogging|T1056.001]]), coleta de dados do navegador ([[t1217-browser-information-discovery|T1217]]) e transferência de arquivos para o servidor C2 via canal criptografado ([[t1573-encrypted-channel|T1573]]). O fluxo operacional do [[s1012-powerless|PowerLess]] envolve a coleta e preparação local dos dados antes da exfiltração: arquivos coletados do sistema ([[t1005-data-from-local-system|T1005]]) são organizados em staging ([[t1074-001-local-data-staging|T1074.001]]) e comprimidos em arquivos antes do envio ([[t1560-archive-collected-data|T1560]]). A natureza modular do backdoor permite que o [[g0059-magic-hound|Magic Hound]] substitua ou atualize componentes individuais sem reimplantar o agente completo, o que eleva sua resiliência operacional. O uso exclusivo de PowerShell ([[t1059-001-powershell|T1059.001]]) como veículo de execução permite ao malware operar frequentemente dentro dos limites de ferramentas legítimas de administração, dificultando a detecção. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1217-browser-information-discovery|T1217 - Browser Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1573-encrypted-channel|T1573 - Encrypted Channel]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g0059-magic-hound|Magic Hound]] ## Referências - [MITRE ATT&CK - S1012](https://attack.mitre.org/software/S1012)