# Nightdoor > Tipo: **malware** · S1147 · [MITRE ATT&CK](https://attack.mitre.org/software/S1147) ## Descrição [[s1147-nightdoor|Nightdoor]] é um backdoor associado exclusivamente às operações do [[g1034-daggerfly|Daggerfly]], um grupo de ameaça chinês (também rastreado como Bronze Highland e Evasive Panda) com foco em espionagem cibernética. O Nightdoor compartilha bibliotecas comuns com o [[s1146-mgbot|MgBot]] e o [[s1016-macma|MacMa]], vinculando essas famílias de malware entre si e confirmando que todas emergem do mesmo conjunto de ferramentas atribuído ao [[g1034-daggerfly|Daggerfly]]. O malware executa verificações anti-análise para detectar ambientes de sandbox antes de iniciar suas operações, e utiliza serviços web legítimos para comunicação C2 de forma a dificultar a distinção de tráfego malicioso. Após o estabelecimento de persistência via tarefas agendadas, o Nightdoor realiza um perfil completo do sistema comprometido - coletando informações sobre usuários, processos, configurações de rede e hora do sistema - antes de aguardar comandos remotos. A presença de bibliotecas compartilhadas com o [[s1016-macma|MacMa]] (backdoor para macOS) sugere que o [[g1034-daggerfly|Daggerfly]] mantém capacidades de ataque cross-platform, sendo o Nightdoor o componente Windows do arsenal. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1102-web-service|T1102 - Web Service]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] ## Grupos que Usam - [[g1034-daggerfly|Daggerfly]] ## Detecção - Monitorar tarefas agendadas criadas por processos não-administrativos ([[t1053-005-scheduled-task|T1053.005]]) - Detectar comunicação C2 via serviços web legítimos (Google Drive, OneDrive etc.) ([[t1102-web-service|T1102]]) - Alertar para sequências de comandos de descoberta do sistema logo após execução de novo processo ([[t1082-system-information-discovery|T1082]]) - Correlacionar IoCs de bibliotecas compartilhadas com MgBot e MacMa para detecção de campanha ## Relevância LATAM/Brasil O [[g1034-daggerfly|Daggerfly]] tem histórico de ataques contra organizações de telecomúnicações e entidades governamentais em regiões estratégicas para os interesses da China. Com a crescente presença econômica e diplomática chinesa no Brasil e na América Latina, organizações dos setores de telecomúnicações, governo e energia devem monitorar indicadores associados ao arsenal do Daggerfly, incluindo o Nightdoor. ## Referências - [MITRE ATT&CK - S1147](https://attack.mitre.org/software/S1147)