# metaMain > Tipo: **malware** · S1059 · [MITRE ATT&CK](https://attack.mitre.org/software/S1059) ## Descrição [[s1059-metamain|metaMain]] é um backdoor sofisticado utilizado pelo [[g1013-metador|Metador]] para manter acesso de longo prazo a máquinas comprometidas; também foi usado para descriptografar o [[s1060-mafalda|Mafalda]] na memória. Descoberto em 2022 pela SentinelLabs, o metaMain representa um componente central do arsenal técnico do Metador, um grupo de ciberespionagem de origem desconhecida que demonstra alto grau de sofisticação operacional e capacidade de manter presença furtiva por períodos prolongados. O metaMain implementa persistência robusta através de assinaturas WMI ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) e utiliza criptografia assimétrica para proteger sua carga útil - o módulo Mafalda é carregado diretamente na memória via reflexive loading ([[t1620-reflective-code-loading|T1620]]), evitando gravação de arquivos maliciosos em disco. Suas capacidades incluem captura de tela, keylogging, coleta de dados e comunicação C2 através de múltiplos protocolos, conferindo versatilidade operacional ao operador. O que diferencia o metaMain de outros backdoors é a separação de funções: enquanto o metaMain provê persistência e operações básicas, o Mafalda - carregado por ele - oferece capacidades avançadas de coleta e evasão. Essa arquitetura modular complica a atribuição e a análise forense, pois os componentes podem ser atualizados independentemente sem alterar o mecanismo de persistência primário. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - Windows Management Instrumentation Event Subscription]] - [[t1620-reflective-code-loading|T1620 - Reflective Code Loading]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1056-input-capture|T1056 - Input Capture]] - [[t1106-native-api|T1106 - Native API]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] ## Grupos que Usam - [[g1013-metador|Metador]] ## Detecção A detecção do metaMain requer monitoramento de criações de assinaturas WMI ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) - especialmente aquelas que referênciam scripts codificados em base64. O carregamento reflexivo ([[t1620-reflective-code-loading|T1620]]) pode ser detectado por EDR com análise comportamental de processo. Verificações de integridade do registro ([[t1112-modify-registry|T1112]]) e monitoramento de tráfego C2 via protocolo não-padrão ([[t1095-non-application-layer-protocol|T1095]]) complementam a estratégia defensiva. O comportamento de verificação de tempo ([[t1497-003-time-based-checks|T1497.003]]) como guardrail pode ser identificado em sandboxes avançadas que simulam timestamps futuros. ## Relevância LATAM/Brasil O [[g1013-metador|Metador]] é um dos grupos mais enigmáticos da inteligência de ameaças atual, com vitimologia que inclui telecomúnicações e provedores de serviços de internet no Oriente Médio e África - setores presentes também no Brasil. Embora não hajá confirmação pública de ataques do Metador no Brasil ou LATAM, o padrão de alvos (ISPs, telecomúnicações) e o nível de sofisticação do metaMain indicam um ator capaz de operar globalmente. Equipes de segurança de operadoras brasileiras devem incluir IOCs do metaMain em seus programas de threat hunting. ## Referências - [MITRE ATT&CK - S1059](https://attack.mitre.org/software/S1059) - [SentinelLabs - Metador: An Intrusion into Telecommúnications and ISPs](https://www.sentinelone.com/labs/metador-an-intrusion-into-telecommunications-and-isps/)