s1109-pacemaker - RunkIntel

# PACEMAKER > Tipo: **malware** · S1109 · [MITRE ATT&CK](https://attack.mitre.org/software/S1109) ## Descrição [[s1109-pacemaker|PACEMAKER]] é um ladrão de credenciais utilizado pelo [[g1023-apt5|APT5]] desde pelo menos 2020, incluindo atividades contra empresas da Base Industrial de Defesa (DIB) dos Estados Unidos. O PACEMAKER foca específicamente em dispositivos de rede e sistemas Linux, utilizando o pseudo-filesystem `/proc` para extrair credenciais de memória de processos em execução. O malware usa chamadas de sistema ptrace para injetar código em processos alvo e ler sua memória, permitindo a extração de credenciais armazenadas em processos como VPN clients, SSH agents e servidores web. A coleta é automatizada, com dados staged localmente antes da exfiltração. O foco em dispositivos de rede (roteadores, firewalls, VPNs) o torna especialmente perigoso para organizações que dependem de segurança de perímetro. O [[g1023-apt5|APT5]] (Manganese) é um grupo de ameaça chinês que tem demonstrado capacidade de explorar vulnerabilidades zero-day em dispositivos de rede para acesso inicial, tornando o PACEMAKER uma ferramenta de pós-exploração altamente relevante neste contexto. **Plataformas:** Network Devices, Linux ## Técnicas Utilizadas - [[t1003-007-proc-filesystem|T1003.007 - Proc Filesystem]] - [[t1055-008-ptrace-system-calls|T1055.008 - Ptrace System Calls]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] ## Grupos que Usam - [[g1023-apt5|APT5]] ## Detecção - Monitorar processos acessando `/proc/[pid]/mem` de outros processos ([[t1003-007-proc-filesystem|T1003.007]]) - Detectar uso de ptrace por processos não-debugger e não-strace ([[t1055-008-ptrace-system-calls|T1055.008]]) - Alertar para coleta automatizada de arquivos em sistemas de rede Linux ([[t1119-automated-collection|T1119]]) - Implementar auditoria de chamadas de sistema sensíveis via auditd em sistemas Linux críticos ## Relevância LATAM/Brasil O [[g1023-apt5|APT5]] tem como foco especial dispositivos de rede e infraestrutura de telecomúnicações - setores estratégicos no Brasil. As telecomúnicações brasileiras passaram por expansão significativa com redes 5G e projetos de infraestrutura digital, tornando-as alvos de interesse para grupos de espionagem chineses. A capacidade do PACEMAKER de extrair credenciais de memória de dispositivos de rede é especialmente relevante para provedores de telecomúnicações e operadoras de infraestrutura crítica. ## Referências - [MITRE ATT&CK - S1109](https://attack.mitre.org/software/S1109)