s0192-pupy - RunkIntel

# Pupy > Tipo: **tool** · S0192 · [MITRE ATT&CK](https://attack.mitre.org/software/S0192) ## Descrição [[s0192-pupy|Pupy]] é um framework de RAT (Remote Access Trojan) e pós-comprometimento totalmente open source, escrito em Python e suportando múltiplas plataformas (Windows, Linux, macOS, Android). Sua flexibilidade de deployment é excepcional: pode ser gerado como executável Windows, script Python puro, oneliner PowerShell, ELF Linux, APK Android, ou até payload para Rubber Ducky. O servidor de controle é web-based e suporta múltiplos transportes (TCP, SSL, HTTP, HTTPS, Websocket, obfs4). Grupos como [[g0059-magic-hound|Magic Hound]] e [[g0064-apt33|APT33]] - ambos vinculados ao Iran - utilizaram Pupy em campanhas de espionagem contra setores de energia, defesa e governo. As capacidades do Pupy incluem: execução de módulos em memória (reflective loading), migração de processo, keylogging, captura de áudio, screenshot, roubo de credenciais de navegadores, pivoting de rede via SOCKS5, e download/upload de arquivos. O módulo `mimikatz` integrado permite roubo de credenciais diretamente do implant, sem necessidade de ferramentas adicionais. A natureza open source do Pupy é uma faca de dois gumes para atores maliciosos: ao mesmo tempo que facilita customização e acesso gratuito a capacidades avançadas, torna as amostras conhecidas e suas assinaturas incluídas em bases de dados de threat intelligence e produtos antivírus. Adversários sofisticados tendem a criar versões modificadas com alterações cosméticas para evadir detecções baseadas em assinatura. **Plataformas:** Linux, Windows, macOS, Android ## Técnicas Utilizadas - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1136-002-domain-account|T1136.002 - Domain Account]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] ## Grupos que Usam - [[g0059-magic-hound|Magic Hound]] - [[g0064-apt33|APT33]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Executável Python compilado com PyInstaller executando em locais temporários; IMPHASH e hashes conhecidos de Pupy em bases TI - **Sysmon Event ID 3 (NetworkConnect):** Beaconing periódico com perfis de transporte obfs4 ou Websocket para IPs de baixa reputação; conexões SSL com certificados auto-assinados ou com SAN incomuns - **Windows Event ID 4104 (PowerShell Script Block Logging):** Stagers PowerShell do Pupy com `IEX (New-Object Net.WebClient).DownloadString()` seguido de download e execução de payload Python **Regras de detecção:** - YARA: Strings internas do framework Pupy - `pupylib`, `pupy.conf`, referências a módulos específicos (`memory_exec`, `migrat`) - Sigma: `proc_creation_win_python_exec_from_temp.yml` - detecta execução de Python compilado em diretórios temporários (SigmaHQ) ## Relevância LATAM/Brasil [[g0059-magic-hound|Magic Hound]] e [[g0064-apt33|APT33]] - grupos iranianos que utilizam Pupy - têm como alvos primários setor de energia, petroquímica e infraestrutura crítica. No Brasil, empresas de energia e petróleo com operações ou parceiros no Oriente Médio são potencialmente expostas a campanhas com Pupy. Adicionalmente, a natureza open source do Pupy o torna acessível a grupos com menores capacidades técnicas, incluindo atores de ameaça emergentes na América Latina que podem adaptar o framework para campanhas regionais contra setores financeiro e governamental brasileiro. ## Referências - [MITRE ATT&CK - S0192](https://attack.mitre.org/software/S0192)