# SLOTHFULMEDIA > [!medium] Backdoor C++ do Cluster IAmTheKing - CISA Alert 2020 > SLOTHFULMEDIA é um Trojan de acesso remoto escrito em **C++** utilizado pelo cluster de atividade **IAmTheKing**, rastreado pela Kaspersky desde junho de 2018. O malware foi objeto de alerta conjunto **CISA/DHS AA20-275A** em outubro de 2020. Caracterizado por **heartbeat de comando a cada segundo** e comunicação HTTP/HTTPS via biblioteca `wsdlpull`, opera contra alvos governamentais, contratantes de defesa e setores de energia no Leste Europeu, Ásia Central e Rússia. ## Visão Geral SLOTHFULMEDIA foi identificado pela Kaspersky Labs em junho de 2018 como parte de um cluster de atividades denominado "IAmTheKing" - nome derivado de comentários encontrados no código do malware. Em outubro de 2020, as agências americanas CISA e DHS emitiram o alerta conjunto AA20-275A descrevendo o malware e suas capacidades, indicando preocupação com o uso contra alvos de interesse para segurança nacional. O nome "SLOTHFULMEDIA" foi atribuído pelos analistas da CISA/DHS, enquanto a Kaspersky o rastreia internamente como parte do cluster IAmTheKing, que inclui variantes adicionais denominadas "QueenOfClubs" e "JackOfHearts". A ESET também identificou similaridades de código entre o SLOTHFULMEDIA e droppers utilizados pelo grupo "PowerPool", sugerindo possível reutilização de código ou operadores em comum. O malware se destaca pelo comportamento de heartbeat agressivo: envia um comando de "ping" ao servidor C2 a cada segundo, mantendo canal de comunicação persistente e permitindo execução de comandos quase em tempo real. Essa característica, embora ruidosa do ponto de vista de detecção de rede, é deliberada para garantir responsividade máxima em operações de espionagem ativa. Os alvos documentados incluem organizações governamentais, contratantes de defesa, universidades, empresas de energia e setores industriais na Rússia, Índia, Cazaquistão, Quirguistão, Malásia, Ucrânia e outros países do Leste Europeu e Ásia Central. A distribuição geográfica de alvos e a ausência de atribuição clara sugerem um ator de espionagem com interesses geopolíticos específicos nessas regiões. ## Como Funciona **Entrega e instalação:** 1. Spear phishing com documentos Word maliciosos contendo macros como vetor primário 2. O documento executa script PowerShell que baixa e instala o SLOTHFULMEDIA 3. Instalação como serviço Windows com nome que imita serviços legítimos (Masquerade) 4. Modificação do registro para persistência em reinicialização (chave `HKLM\SYSTEM\CurrentControlSet\Services`) **Capacidades de espionagem:** - **Keylogging**: captura de todas as teclas pressionadas, incluindo senhas e mensagens - **Screenshot**: captura periódica ou on-demand da tela do sistema - **Process injection**: injeção em processos legítimos para ocultar atividade - **Shell remoto**: execução de comandos arbitrários via cmd.exe - **File operations**: upload/download, criação, deleção e listagem de arquivos - **Service/process enumeration**: inventário de processos e serviços em execução **Comúnicação C2:** - Protocolo HTTP/HTTPS via biblioteca `wsdlpull` (biblioteca open-source de SOAP) - Heartbeat a cada segundo para manter canal ativo - Dados de resposta obfuscados para evitar inspeção de conteúdo - Fallback para HTTP se HTTPS indisponível ## Attack Flow ```mermaid graph TB A["Spear Phishing<br/>Documento Word<br/>com macro PowerShell"] --> B["Downloader<br/>PowerShell baixa<br/>SLOTHFULMEDIA"] B --> C["Instalacao Servico<br/>Nome imitando<br/>servico Windows legitimo"] C --> D["Persistência<br/>Registro HKLM<br/>CurrentControlSet"] D --> E["C2 HTTP/HTTPS<br/>wsdlpull library<br/>heartbeat 1s"] E --> F["Keylogging<br/>Screenshots<br/>Process injection"] F --> G["Exfiltração<br/>Documentos<br/>e credenciais"] G --> H["Espionagem longa<br/>Governo defesa<br/>energia - LP meses"] ``` **Legenda:** [[iamtheking]] · [[t1056-001-keylogging|T1056.001]] · [[t1055-process-injection|T1055]] · [[t1543-003-windows-service|T1543.003]] · [[t1071-001-web-protocols|T1071.001]] ## Timeline ```mermaid timeline title SLOTHFULMEDIA - Linha do Tempo 2017-01 : Primeiros indicios : Kaspersky comeca tracking : Cluster IAmTheKing 2018-06 : IAmTheKing identificado : Kaspersky documenta cluster : QueenOfClubs, JackOfHearts 2019-2020 : Campanha ativa : Alvos Russia, India : Cazaquistao, Ucrania 2020-10-01 : CISA/DHS Alert AA20-275A : SLOTHFULMEDIA nomeado : IOCs publicados 2020 : ESET links PowerPool : Similaridade de código : Atribuicao incerta 2021-2023 : Atividade continuada : Novos alvos documentados : Infraestrutura rotacionada ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTP/HTTPS usando biblioteca wsdlpull | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura contínua de teclado incluindo senhas | | Process Injection | [[t1055-process-injection\|T1055]] | Injeção em processos legítimos para evasão | | Modify Registry | [[t1112-modify-registry\|T1112]] | Persistência via chave de serviço no registro do Windows | | Windows Service | [[t1543-003-windows-service\|T1543.003]] | Instalação como serviço Windows com nome mascarado | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução remota de comandos via cmd.exe | | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Coleta de documentos, credenciais e dados locais | | Data Obfuscation | [[t1001-data-obfuscation\|T1001]] | Ofuscação das respostas C2 para evadir inspeção | | Match Legitimate Name | [[t1036-005-match-legitimate-resource-name\|T1036.005]] | Nome de serviço imitando serviços Windows legítimos | | System Service Discovery | [[t1007-system-service-discovery\|T1007]] | Enumeração de serviços e processos em execução | | System Owner/User Discovery | [[t1033-system-owner-user-discovery\|T1033]] | Identificação do usuário e proprietário do sistema | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2\|T1041]] | Exfiltração de dados coletados via canal C2 HTTP | ## Relevância para o Brasil e LATAM > [!latam] Padrão de Espionagem Aplicável à Infraestrutura Crítica Brasileira > Os setores alvejados pelo SLOTHFULMEDIA — governo, defesa, energia e universidades — têm contrapartes brasileiras de alto valor: **Petrobras**, **Eletrobras**, **IMBEL**, **ITA** e o **Itamaraty**. RATs C++ com heartbeat via HTTP são técnica base de múltiplos grupos de espionagem com interesse documentado no Brasil. Embora os alvos documentados do SLOTHFULMEDIA sejam principalmente no Leste Europeu e Ásia Central, o padrão de ataque é relevante para o Brasil: **Padrão de alvo aplicável:** - Os setores alvejados - [[government|governo]], defesa, energia e universidades - têm contrapartes brasileiras de alto valor estratégico - O Brasil opera infraestrutura crítica de energia (Petrobras, Eletrobras) e defesa que são alvos de interesse para múltiplos atores de espionagem - Universidades brasileiras com programas de pesquisa em defesa, energia nuclear e tecnologia avançada (USP, UNICAMP, ITA) correspondem ao perfil de alvo **Ameaça de atores similares:** - O IAmTheKing não tem atribuição geográfica confirmada, sugerindo possibilidade de ser um ator sem foco exclusivo em Leste Europeu - Técnicas similares (RAT C++ + HTTP C2 + keylogging) são usadas por múltiplos grupos de espionagem que têm interesse documentado no Brasil - A [[lgpd|LGPD]] exige notificação quando dados de pesquisas governamentais ou industriais são exfiltrados ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - SLOTHFULMEDIA (TLP:GREEN) > **Comportamento de rede:** > Heartbeat HTTP para IP externo a cada 1 segundo (padrão altamente anormal) > Tráfego SOAP/wsdlpull para servidores não reconhecidos > HTTP POST periódico com body ofuscado de tamanho fixo > > **Host:** > Serviço Windows com nome similar a serviços legítimos mas path incomum > Chave de registro em HKLM\SYSTEM\CurrentControlSet\Services com ServiceDLL suspeita > Processo com injeção em svchost.exe ou outros serviços do sistema > > **Fontes:** CISA Advisory AA20-275A · Kaspersky Securelist · ESET Research **Mitigações recomendadas:** - Implementar [[m1030-network-segmentation|M1030]] com inspeção de tráfego HTTP de saída para detectar heartbeat de 1 segundo - Usar [[m1049-antivirus|M1049]] com regras comportamentais para process injection e persistência via serviço Windows suspeito - Monitorar via [[ds0009-process-creation|DS0009]] criação de serviços Windows com paths em diretórios incomuns - Aplicar [[m1026-privileged-account-management|M1026]] para limitar criação de serviços a administradores autenticados - Usar [[m1017-user-training|M1017]] para reduzir exposição a spear phishing com macros Office ## Referências - [1](https://www.cisa.gov/sites/default/files/publications/AA20-275A.stix.json) CISA/DHS AA20-275A - SLOTHFULMEDIA Malware Alert (2020) - [2](https://securelist.com/iamtheking-and-the-slothfulmedia-malware/99000/) Kaspersky Securelist - IAmTheKing and SLOTHFULMEDIA (2020) - [3](https://attack.mitre.org/software/S0533/) MITRE ATT&CK - SLOTHFULMEDIA S0533 (2020) - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.slothfulmedia) Malpedia - SLOTHFULMEDIA Entry - [5](https://www.us-cert.cisa.gov/ncas/alerts/aa20-275a) US-CERT - Alert AA20-275A (2020) - [6](https://www.welivesecurity.com/2018/07/26/visiting-powerpool-malware-used-zero-day-exploit/) ESET - PowerPool Malware (code similarities reference) (2018)