# CANONSTAGER > Tipo: **malware** · S1237 · [MITRE ATT&CK](https://attack.mitre.org/software/S1237) ## Descrição [[s1237-canonstager|CANONSTAGER]] é um loader conhecido por ser utilizado pelo [[g0129-mustang-panda|Mustang Panda]] e foi observado pela primeira vez em 2025. O [[g0129-mustang-panda|Mustang Panda]] utiliza DLL side-loading para execução no ambiente da vítima antes de entregar um payload malicioso criptografado de próxima fase. [[s1237-canonstager|CANONSTAGER]] faz uso de Thread Local Storage (TLS) e APIs nativas do Windows para eludir detecções, além de ocultar seu código utilizando procedimentos de jánela e filas de mensagens. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-007-dynamic-api-resolution|T1027.007 - Dynamic API Resolution]] - [[t1055-005-thread-local-storage|T1055.005 - Thread Local Storage]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1106-native-api|T1106 - Native API]] - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] ## Grupos que Usam - [[g0129-mustang-panda|Mustang Panda]] ## Referências - [MITRE ATT&CK - S1237](https://attack.mitre.org/software/S1237)