# KOPILUWAK > Tipo: **malware** · S1075 · [MITRE ATT&CK](https://attack.mitre.org/software/S1075) ## Descrição [[s1075-kopiluwak|KOPILUWAK]] é uma ferramenta de reconhecimento baseada em JavaScript utilizada pelo grupo russo [[g0010-turla|Turla]] para perfilamento de vítimas e comando e controle (C2) desde pelo menos 2017. Seu nome deriva do café kopi luwak - um elemento de humor sutil frequentemente encontrado no código do [[g0010-turla|Turla]] - , e a ferramenta se destaca por sua implementação inteiramente em JavaScript ([[t1059-007-javascript|T1059.007]]), o que facilita a execução em ambientes Windows sem necessidade de compilação e dificulta a detecção baseada em assinaturas de binários. As capacidades de reconhecimento do [[s1075-kopiluwak|KOPILUWAK]] são extensas: descoberta de processos ([[t1057-process-discovery|T1057]]), compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]), configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]), conexões de rede ativas ([[t1049-system-network-connections-discovery|T1049]]), armazenamento local ([[t1680-local-storage-discovery|T1680]]) e identidade do usuário do sistema ([[t1033-system-owneruser-discovery|T1033]]). Dados coletados são encenados localmente ([[t1074-001-local-data-staging|T1074.001]]) e exfiltrados pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]) via protocolos web ([[t1071-001-web-protocols|T1071.001]]). O vetor de infecção documentado inclui anexos de spearphishing ([[t1566-001-spearphishing-attachment|T1566.001]]) com arquivos contendo o script JavaScript malicioso. O [[s1075-kopiluwak|KOPILUWAK]] é utilizado em estágios iniciais de intrusões pelo [[g0010-turla|Turla]], funcionando como ferramenta de triagem para identificar alvos de valor antes de implantar backdoors mais sofisticados como [[s0265-kazuarv2|Kazuar]] ou [[snake-turla|Snake]]. A separação das funções de reconhecimento e acesso persistente em ferramentas distintas é característica da abordagem operacional modular do [[g0010-turla|Turla]], que minimiza a exposição de suas ferramentas mais avançadas a sistemas de menor valor estratégico. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] ## Grupos que Usam - [[g0010-turla|Turla]] ## Detecção A detecção do [[s1075-kopiluwak|KOPILUWAK]] concentra-se na identificação de execução maliciosa de JavaScript no Windows. Indicadores-chave incluem: execução de wscript.exe ou cscript.exe ([[t1059-007-javascript|T1059.007]]) com scripts temporários em diretórios de usuário ou %TEMP%; enumeração de compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]) e conexões de rede ativas ([[t1049-system-network-connections-discovery|T1049]]) por processos de script; e comunicação HTTP para domínios C2 ([[t1071-001-web-protocols|T1071.001]]) a partir de wscript.exe. Regras de AppLocker/SRP que bloqueiam execução de scripts .js a partir de diretórios de usuário são eficazes para prevenção. Monitoramento de arquivos .js e .jse criados em diretórios temporários imediatamente após abertura de anexos de email ([[t1566-001-spearphishing-attachment|T1566.001]]) é um indicador de comprometimento inicial. A exfiltração de dados via C2 ([[t1041-exfiltration-over-c2-channel|T1041]]) pode ser detectada por análise de volume e frequência de comúnicações HTTP saindo de estações de trabalho. Correlacionar descoberta de compartilhamentos de rede com criação subsequente de arquivos de staging ([[t1074-001-local-data-staging|T1074.001]]) aumenta a precisão da detecção. ## Relevância LATAM/Brasil O [[g0010-turla|Turla]], operador do [[s1075-kopiluwak|KOPILUWAK]], é um grupo de espionagem russo ativo em campanhas diplomáticas e governamentais globais. O Brasil, como membro do BRICS e G20 com relações diplomáticas ativas com a Rússia, pode ser alvo de operações de espionagem utilizando ferramentas do [[g0010-turla|Turla]], incluindo o [[s1075-kopiluwak|KOPILUWAK]] como ferramenta de triagem inicial. Embaixadas, Ministério das Relações Exteriores, organismos de defesa e organizações brasileiras envolvidas em negociações multilaterais sensíveis devem monitorar indicadores associados ao [[g0010-turla|Turla]] em seus endpoints e tráfego de rede. ## Referências - [MITRE ATT&CK - S1075](https://attack.mitre.org/software/S1075)