# Shark > Tipo: **malware** · S1019 · [MITRE ATT&CK](https://attack.mitre.org/software/S1019) ## Descrição [[s1019-shark|Shark]] é um malware backdoor escrito em C# e .NET, representando uma versão atualizada e aprimorada do [[s1015-milan|Milan]] - backdoor anterior do mesmo grupo. É utilizado pelo [[g1001-hexane|HEXANE]] (também conhecido como Lyceum) desde pelo menos julho de 2021. O [[g1001-hexane|HEXANE]] é um grupo de espionagem cibernética atribuído ao Irã, com histórico de operações contra provedores de internet, telecomúnicações e empresas do setor de petróleo e gás no Oriente Médio e África. O [[s1019-shark|Shark]] implementa canais de fallback ([[t1008-fallback-channels|T1008]]) para garantir resiliência da comunicação C2 - se o canal primário for bloqueado, o malware tenta automaticamente canais alternativos, incluindo comunicação via DNS ([[t1071-004-dns|T1071.004]]). Essa resiliência é especialmente importante para operações de longo prazo de espionagem, onde a perda de acesso pode significar meses de trabalho de reconhecimento perdido. O malware realiza verificações de ambiente anti-sandbox ([[t1497-001-system-checks|T1497.001]]) antes de executar suas funcionalidades principais. A transferência agendada de dados ([[t1029-scheduled-transfer|T1029]]) - onde o malware envia dados coletados em horários específicos em vez de em tempo real - é uma técnica de segurança operacional que reduz o volume de tráfego anômalo em horários de pico, tornando o comportamento de exfiltração mais difícil de detectar. O uso de C# e .NET facilita o desenvolvimento rápido de novas variantes e a adição de funcionalidades, contribuindo para a constante evolução do [[s1019-shark|Shark]] ao longo do tempo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1029-scheduled-transfer|T1029 - Scheduled Transfer]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1071-004-dns|T1071.004 - DNS]] ## Grupos que Usam - [[g1001-hexane|HEXANE]] ## Detecção - Monitorar comúnicações DNS anômalas (subdomínios longos, alta frequência de consultas, baixo TTL) - Detectar binários .NET com múltiplos canais de C2 configurados (análise estática de configuração) - Alertar sobre padrão de exfiltração em horários específicos e regulares (possível scheduled transfer) - Implementar análise de comportamento de binários .NET em sandboxes antes de execução em produção - Monitorar processos C# que realizam chamadas de registry e depois comunicação de rede em sequência ## Relevância LATAM/Brasil O [[g1001-hexane|HEXANE]] tem foco em telecomúnicações e energia - dois setores estratégicos para o Brasil. Operadoras de telecomúnicações brasileiras são alvos potenciais de espionagem para coleta de metadados de comúnicações, e empresas petrolíferas como a Petrobras são alvos de interesse para inteligência econômica. A técnica de C2 via DNS do [[s1019-shark|Shark]] é especialmente relevante para o Brasil, onde o monitoramento de tráfego DNS é frequentemente negligenciado nas estrategias defensivas de organizações de todos os portes. ## Referências - [MITRE ATT&CK - S1019](https://attack.mitre.org/software/S1019)