# Sardonic > Tipo: **malware** · S1085 · [MITRE ATT&CK](https://attack.mitre.org/software/S1085) ## Descrição [[s1085-sardonic|Sardonic]] é um backdoor escrito em C e C++ utilizado pelo [[g0061-fin8|FIN8]] - grupo de crimes financeiros motivado por lucro, conhecido por ataques a organizações do setor de varejo, hoteleiro e financeiro - , com atividade documentada desde agosto de 2021 em ataques contra uma instituição financeira nos Estados Unidos. Uma versão atualizada do [[s1085-sardonic|Sardonic]] foi reportada em 2022, demonstrando desenvolvimento contínuo e adaptação pelo [[g0061-fin8|FIN8]] em resposta a melhorias nas capacidades defensivas dos alvos. O [[s1085-sardonic|Sardonic]] possui um sistema de plugins extensível capaz de carregar DLLs especialmente criadas e executar suas funções, similar à arquitetura do Samurai e de outros backdoors modulares avançados. Essa característica permite que os operadores adaptem as capacidades do malware ao ambiente-alvo específico sem redeployment do componente principal. O malware utiliza WMI Event Subscriptions ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) para persistência - uma técnica avançada que persiste mesmo após limpeza de chaves Run do registro. A comunicação C2 é realizada em portas não padrão ([[t1571-non-standard-port|T1571]]) e com criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]), dificultando tanto a inspeção quanto o bloqueio baseado em porta. O [[g0061-fin8|FIN8]] tipicamente permanece em redes comprometidas por meses realizando reconhecimento extenso antes de executar sua operação final, usando o [[s1085-sardonic|Sardonic]] como plataforma de acesso de longo prazo durante essa fase de espera. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - Windows Management Instrumentation Event Subscription]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] ## Grupos que Usam - [[g0061-fin8|FIN8]] ## Detecção - Auditar WMI Event Subscriptions permanentes registradas no sistema (classes `__EventFilter`, `__EventConsumer`, `__FilterToConsumerBinding`) - Monitorar processos que carregam DLLs de caminhos temporários ou de usuário - Alertar sobre conexões de saída em portas não padrão por processos de background - Implementar monitoramento de atividade WMI como indicador de movimento lateral e persistência - Correlacionar eventos de discovery de rede com descoberta de compartilhamentos e atividade de exfiltração ## Relevância LATAM/Brasil O [[g0061-fin8|FIN8]] tem alvos típicos em varejo, hotelaria e setor financeiro - todos setores com forte presença no Brasil. As técnicas de persistência via WMI e sistema de plugins do [[s1085-sardonic|Sardonic]] são sofisticadas e requerem capacidades avançadas de detecção que muitas organizações brasileiras ainda estão desenvolvendo. O perfil de espera de longo prazo do FIN8 antes de executar operações finais torna especialmente importante a detecção precoce de comprometimentos iniciais em ambientes de varejo e financeiro no Brasil. ## Referências - [MITRE ATT&CK - S1085](https://attack.mitre.org/software/S1085)