s1210-sagerunex - RunkIntel

# Sagerunex > Tipo: **malware** · S1210 · [MITRE ATT&CK](https://attack.mitre.org/software/S1210) ## Descrição [[s1210-sagerunex|Sagerunex]] é uma família de malware exclusivamente associada às operações do [[g0030-raspberry-typhoon|Lotus Blossom]] - grupo de espionagem cibernética atribuído à China com histórico de operações contra governos e forças militares no Sudeste Asiático. Variantes existem desde pelo menos 2016, e o malware passou por evolução contínua ao longo dos anos. O [[s1210-sagerunex|Sagerunex]] é uma evolução do backdoor Elise, anteriormente usado pelo mesmo grupo, com capacidades aprimoradas de comunicação C2 e evasão. Uma das características mais notáveis do [[s1210-sagerunex|Sagerunex]] é o aproveitamento de mecanismos de comando e controle não convencionais - diferentes variantes foram observadas usando serviços web legítimos como Dropbox, Twitter e Zimbra como canal C2 via comunicação unidirecional ([[t1102-003-one-way-communication|T1102.003]]), o que torna extremamente difícil a detecção baseada em análise de tráfego de rede. O malware utiliza criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) para proteger as comúnicações. A carga maliciosa é injetada em processos legítimos do sistema via DLL injection ([[t1055-001-dynamic-link-library-injection|T1055.001]]), e o binário é protegido por múltiplas camadas de obfuscação e packing ([[t1027-002-software-packing|T1027.002]]). A manipulação de tokens de acesso ([[t1134-access-token-manipulation|T1134]]) permite ao malware operar com privilégios elevados sem necessidade de exploração de vulnerabilidades adicionais após o comprometimento inicial. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1090-proxy|T1090 - Proxy]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1106-native-api|T1106 - Native API]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1102-003-one-way-communication|T1102.003 - One-Way Commúnication]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] ## Grupos que Usam - [[g0030-raspberry-typhoon|Lotus Blossom]] ## Detecção - Monitorar injeção de DLL em processos legítimos do sistema (ex: `svchost.exe`, `explorer.exe`) por processos não administrativos - Detectar comúnicações de saída para APIs do Dropbox ou Twitter a partir de processos não esperados - Alertar sobre manipulação de tokens de acesso (ImpersonateLoggedOnUser, DuplicateTokenEx) por processos suspeitos - Inspecionar binários com alto grau de packing (ferramentas como PEiD, DIE) antes de execução em ambiente controlado - Correlacionar eventos de staging de dados com exfiltração posterior ## Relevância LATAM/Brasil O [[g0030-raspberry-typhoon|Lotus Blossom]] opera principalmente no Sudeste Asiático, mas o uso de infraestrutura de serviços web legítimos como C2 - uma técnica também adotada por grupos que operam na América Latina - torna o [[s1210-sagerunex|Sagerunex]] uma referência importante para defesa. Organizações governamentais brasileiras com relações diplomáticas intensas com países da ASEAN e representações diplomáticas asiáticas no Brasil devem incluir TTPs do Lotus Blossom em seus modelos de ameaça. ## Referências - [MITRE ATT&CK - S1210](https://attack.mitre.org/software/S1210)