# SplitLoader > [!high] Loader norte-coreano multi-estágio do Moonstone Sleet - entregue via PuTTY trojanizado e jogo DetankWar para alvos de tecnologia e defesa > SplitLoader é um instalador de malware multi-estágio atribuído ao **Moonstone Sleet** (rastreado anteriormente como Storm-1789), grupo norte-coreano documentado pela Microsoft em maio de 2024. Entregue via PuTTY trojanizado enviado por LinkedIn/Telegram ou via jogo falso DetankWar, o SplitLoader executa uma cadeia de payloads intermediários que culmina em um Trojan loader para execução de código recebido de C2. ## Visão Geral SplitLoader é um componente de malware desenvolvido pelo [[g1036-moonstone-sleet|Moonstone Sleet]], grupo de ameaça persistente norte-coreano documentado pela Microsoft Threat Intelligence em maio de 2024. O Moonstone Sleet foi rastreado anteriormente como Storm-1789 e demonstra fortes sobreposições táticas com o [[g0032-lazarus-group|Lazarus Group]] - incluindo reutilização de código do malware Comebacker (associado ao Lazarus em 2021). O grupo evoluiu de tático espelhado ao Lazarus para identidade própria com infraestrutura e tradecraft distintos. O SplitLoader foi identificado em duas cadeias de infecção principais. Na primeira, ataques detectados a partir de agosto de 2023 utilizaram um PuTTY modificado distribuído via LinkedIn, Telegram e plataformas de freelancing para desenvolvedores. A vítima recebia um arquivo ZIP com dois componentes: um `putty.exe` trojanizado e um `url.txt` com endereço IP e senha. Ao inserir o IP e a senha no PuTTY, a aplicação descriptografava um payload embutido e executava o SplitLoader, que iniciava a cadeia de estágios intermediários até lançar um Trojan loader conectado ao C2 do Moonstone Sleet. Na segunda cadeia, o [[g1036-moonstone-sleet|Moonstone Sleet]] criou e distribuiu um jogo de tanques fictício chamado **DetankWar** (também rastreado como DeFiTankWar, DeTankZone, TankWarsZone) distribuído por e-mail e aplicativos de mensagens, com cobertura de legitimidade via sites falsos e contas em X (ex-Twitter). O executável do jogo (`delfi-tank-unity.exe`) continha um loader chamado YouieLoad com capacidades semelhantes ao SplitLoader - carregamento de payloads em memória e criação de serviços maliciosos para reconhecimento de rede e coleta de dados de navegadores. O grupo também criou empresas fictícias inteiras (com domínios próprios, personas de funcionários falsos e contas em redes sociais) para abordar alvos potenciais com propostas de colaboração em projetos de software. A empresa falsa **StarGlow Ventures** se apresentava como empresa de desenvolvimento de software para atrair desenvolvedores interessados em projetos de web, mobile, blockchain e IA. Os pacotes npm maliciosos distribuídos nesse contexto se conectavam a IPs controlados pelo ator e instalavam payloads similares ao SplitLoader ou facilitavam roubo de credenciais via LSASS. ## Como Funciona ```mermaid graph TB A["🎯 LinkedIn/Telegram<br/>Proposta de emprego falsa"] --> B["📦 ZIP malicioso<br/>PuTTY trojanizado + url.txt"] B --> C["🔑 Vitima insere IP/senha<br/>Ativa payload embutido"] C --> D["📦 SplitLoader executado<br/>Cadeia de estagios intermediarios"] D --> E["🔌 Conexão C2<br/>HTTP/S para servidor controlado"] E --> F["💉 Trojan loader<br/>Executa PE recebido de C2"] F --> G["⚙️ Servicos maliciosos<br/>Reconhecimento de rede"] G --> H["🗂️ Coleta de dados<br/>Navegadores, credenciais, LSASS"] ``` ## Vetor Alternativo - DetankWar ```mermaid graph TB A["🎮 Jogo DetankWar distribuido<br/>E-mail ou mensagens diretas"] --> B["⚙️ delfi-tank-unity.exe<br/>Jogo funcional como isca"] B --> C["📦 YouieLoad embutido<br/>Similar ao SplitLoader"] C --> D["💉 Payloads em memoria<br/>Sem escrita em disco"] D --> E["⚙️ Servicos Windows criados<br/>T1543.003 - persistência"] E --> F["🔍 Network discovery<br/>Mapeamento da rede alvo"] F --> G["🗂️ Browser data collection<br/>Credenciais e sessoes"] ``` ## Técnicas de Engenharia Social | Vetor | Plataforma | Isca | Alvo | |-------|-----------|------|------| | PuTTY trojanizado | LinkedIn, Telegram | Teste técnico/avaliação de freelancer | Desenvolvedores | | DetankWar game | E-mail, mensagens | Jogo de tanques com fachada blockchain | Tech, defesa, cripto | | Pacotes npm maliciosos | LinkedIn, plataformas de freelancing | Projetos de desenvolvimento web/mobile/IA | Desenvolvedores npm | | Empresa falsa StarGlow Ventures | X (Twitter), LinkedIn | Proposta de colaboração legítima | Desenvolvedores, pesquisadores | ## Atribuição - Moonstone Sleet O [[g1036-moonstone-sleet|Moonstone Sleet]] demonstra sobreposições técnicas significativas com o [[g0032-lazarus-group|Lazarus Group]]: - Reutilização de código do **Comebacker** (malware Lazarus de 2021) - Técnicas de Operation Dream Job adaptadas (PuTTY trojanizado, engenharia social com emprego) - Objetivos estratégicos alinhados: espionagem e geração de receita para DPRK - Distinção: infraestrutura própria separada, empresas fictícias mais elaboradas, uso de jogos como isca ## Detecção e Defesa **Indicadores comportamentais:** - Processo `putty.exe` ou executável com nome de utilitário SSH iniciando conexões para IPs não-SSH e executando payloads secondários - Executável de jogo instalando serviços Windows e realizando reconhecimento de rede imediatamente após execução - Processo desconhecido acessando `lsass.exe` via `OpenProcess` com direitos de leitura **Detecção específica:** - **Sysmon Event ID 7** (Image Loaded): DLL carregada por processo de jogo que acessa APIs de rede ou cria serviços - **Event ID 4688** (Process Create): `services.exe` criando serviço a partir de diretório não-padrão após execução de jogo - Monitorar acesso a `%LocalAppData%\Google\Chrome\User Data\Login Data` por processos não-Chrome **Defesas:** - Validar integridade de ferramentas populares (PuTTY, WinSCP) via hash antes de instalação em ambientes corporativos - Política de instalação de aplicativos: apenas fontes corporativas aprovadas - EDR com detecção de criação de serviço por processos de jogos ou ferramentas de usuário - Bloquear acesso ao LSASS por processos não-autorizados (Windows Credential Guard) ## Relevância LATAM/Brasil O [[g1036-moonstone-sleet|Moonstone Sleet]] foca primariamente em alvos de tecnologia, defesa e criptomoedas em países com desenvolvimento tecnológico avançado - perfil com relevância crescente para o Brasil. O ecossistema de startups de blockchain e cripto no Brasil (um dos maiores da América Latina), junto com empresas de tecnologia e desenvolvedores de software, representam alvos potenciais para técnicas de engenharia social similares às usadas pelo Moonstone Sleet. O modelo de ataque via plataformas de freelancing e LinkedIn - altamente usado no Brasil - torna o vetor de SplitLoader diretamente aplicável ao contexto brasileiro. Campanhas de Operation Dream Job do [[g0032-lazarus-group|Lazarus Group]] já visaram desenvolvedores em múltiplos países, e o Moonstone Sleet usa variações do mesmo modelo. ## Referências - [Microsoft Threat Intelligence - Moonstone Sleet](https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/) - Maio 2024 - [The Hacker News - Microsoft Uncovers Moonstone Sleet](https://thehackernews.com/2024/05/microsoft-uncovers-moonstone-sleet-new.html) - 2024 - [Microsoft WDSI - TrojanDropper:Win32/SplitLoader.A!dha](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDropper%3AWin32%2FSplitLoader.A%21dha)