# CorKLOG > Tipo: **malware** · S1235 · [MITRE ATT&CK](https://attack.mitre.org/software/S1235) ## Descrição [[s1235-corklog|CorKLOG]] é um keylogger conhecido por ser utilizado pelo [[g0129-mustang-panda|Mustang Panda]], observado pela primeira vez em 2024. O [[s1235-corklog|CorKLOG]] é entregue por meio de um arquivo RAR (ex.: src.rar) contendo dois arquivos: um executável (lcommute.exe) e a DLL do [[s1235-corklog|CorKLOG]] (mscorsvc.dll). O [[s1235-corklog|CorKLOG]] estabelece persistência no sistema criando serviços ou por meio de tarefas agendadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] ## Grupos que Usam - [[g0129-mustang-panda|Mustang Panda]] ## Referências - [MITRE ATT&CK - S1235](https://attack.mitre.org/software/S1235)