# Raspberry Robin > Tipo: **malware** · S1130 · [MITRE ATT&CK](https://attack.mitre.org/software/S1130) ## Descrição [[s1130-raspberry-robin|Raspberry Robin]] é um malware de acesso inicial identificado pela primeira vez em setembro de 2021 e ativo até o início de 2024. O malware se destaca pela propagação por meio de dispositivos USB infectados contendo um objeto LNK malicioso que, ao ser executado, recupera payloads hospedados remotamente para instalação. O [[s1130-raspberry-robin|Raspberry Robin]] foi amplamente utilizado contra diversos setores e geografias, e como precursor de stealers, ransomware e outros payloads como [[s1124-socgholish|SocGholish]], [[s0154-cobalt-strike|Cobalt Strike]], [[s0483-icedid|IcedID]] e [[s1039-bumblebee|Bumblebee]]. A infraestrutura do Raspberry Robin é técnicamente sofisticada: usa dispositivos QNAP NAS comprometidos como servidores C2, aproveita o serviço de encurtamento de URLs do Discord para obfuscar endereços, e utiliza portas não-padrão ([[t1571-non-standard-port|T1571]]) para comunicação. O malware emprega múltiplas técnicas de anti-análise, incluindo detecção de sandbox ([[t1497-virtualizationsandbox-evasion|T1497]]), verificação do ambiente antes de executar payloads ([[t1480-execution-guardrails|T1480]]), e mascaramento de tipo de arquivo ([[t1036-008-masquerade-file-type|T1036.008]]). O componente DLL na cadeia de infecção é referênciado como "Roshtyak" e apresenta técnicas de ofuscação de código excepcionalmente avançadas. O nome "Raspberry Robin" designa tanto o malware quanto o ator de ameaça associado ao seu uso, embora os operadores também sejam rastreados como `Storm-0856` por alguns vendors. A natureza de "acesso como serviço" do Raspberry Robin - vender acesso a redes comprometidas para outros grupos - o torna um elo crítico na cadeia de distribuição de ransomware. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1102-web-service|T1102 - Web Service]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1559-inter-process-communication|T1559 - Inter-Process Commúnication]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] - [[t1036-008-masquerade-file-type|T1036.008 - Masquerade File Type]] ## Detecção Detectar o Raspberry Robin requer políticas de controle de dispositivos USB que bloqueiem execução automática de arquivos LNK. Monitorar execuções de `msiexec.exe` ([[t1218-010-regsvr32|T1218.010]]) e `regsvr32.exe` com argumentos suspeitos é crítico. Tráfego de rede para endereços TOR ou via portas não-padrão ([[t1571-non-standard-port|T1571]]) em dispositivos QNAP NAS é um indicador específico. Regras de detecção Sigma para worm via USB e Microsoft Defender for Endpoint possuem cobertura específica para este malware. ## Relevância LATAM/Brasil O Raspberry Robin tem distribuição global via USB, tornando-o relevante para ambientes corporativos brasileiros onde dispositivos USB removíveis ainda são amplamente utilizados. O malware é especialmente preocupante como precursor de ransomware - grupos como Black Basta e Clop utilizaram o Raspberry Robin como vetor de acesso inicial. No Brasil, onde a cultura de compartilhamento de arquivos via pen drive permanece comum em PMEs e ambientes industriais, o risco de infecção por Raspberry Robin é significativo e subestimado. ## Referências - [MITRE ATT&CK - S1130](https://attack.mitre.org/software/S1130)