s1233-paklog - RunkIntel

# PAKLOG > Tipo: **malware** · S1233 · [MITRE ATT&CK](https://attack.mitre.org/software/S1233) ## Descrição [[s1233-paklog|PAKLOG]] é um keylogger utilizado pelo [[g0129-mustang-panda|Mustang Panda]] (Bronze President/Earth Preta), grupo de ameaça chinês, observado pela primeira vez em 2024. O PAKLOG é entregue por meio de um arquivo RAR (por exemplo, key.rar), que contém dois arquivos: um binário legítimo e assinado digitalmente (PACLOUD.exe) e a DLL maliciosa (pa_lang2.dll). O binário PACLOUD.exe é utilizado para executar DLL sideloading da DLL do PAKLOG, que então inicia a funcionalidade de keylogger. O uso de um binário assinado legitima a cadeia de execução e contorna controles de segurança baseados em reputação de assinatura digital - uma técnica conhecida como "living off trusted binaries". O PAKLOG captura keystroke events e conteúdo da área de transferência (clipboard), monitorando jánelas ativas para contextualizar o que o usuário está fazendo ao digitar. Os dados são staged localmente antes da exfiltração. O [[g0129-mustang-panda|Mustang Panda]] utiliza o PAKLOG em campanhas de espionagem contra governos, ONGs e organizações religiosas na Ásia e na Europa, com foco em coleta de inteligência de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1106-native-api|T1106 - Native API]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] ## Grupos que Usam - [[g0129-mustang-panda|Mustang Panda]] ## Detecção - Monitorar DLL sideloading - binários assinados carregando DLLs de diretórios não-padrão ([[t1574-001-dll|T1574.001]]) - Detectar APIs de hook de teclado (SetWindowsHookEx) chamadas por processos não-relacionados a aplicações de entrada ([[t1056-001-keylogging|T1056.001]]) - Alertar para acesso à área de transferência por processos sem interface gráfica ([[t1115-clipboard-data|T1115]]) - Inspecionar arquivos RAR recebidos em e-mail que contenham par binário assinado + DLL ## Relevância LATAM/Brasil O [[g0129-mustang-panda|Mustang Panda]] tem expandido seus alvos para incluir ONGs, organizações religiosas e entidades governamentais em múltiplas regiões. No Brasil, organizações de direitos humanos, missões religiosas com atividade na Ásia e entidades governamentais com interface com países do Indo-Pacífico são potencialmente relevantes para o perfil de coleta do grupo. O keylogging via DLL sideloading é uma técnica eficaz contra sistemas Windows corporativos sem controles de application whitelisting. ## Referências - [MITRE ATT&CK - S1233](https://attack.mitre.org/software/S1233)