s0040-htran - RunkIntel

# HTRAN > Tipo: **tool** · S0040 · [MITRE ATT&CK](https://attack.mitre.org/software/S0040) ## Descrição [[s0040-htran|HTRAN]] (HUC Packet Transmit Tool) é uma ferramenta de proxy de rede que roteia conexões por meio de hosts intermediários para ocultar a verdadeira localização geográfica do atacante. Desenvolvida originalmente pelo grupo hacker chinês HUC (Honker Union of China), a ferramenta estabelece uma cadeia de proxies entre o cliente e o servidor alvo, dificultando o rastreamento da origem real das conexões maliciosas. Suporta TCP, UDP e pode operar em modo cliente ou servidor. Em contextos maliciosos, o [[g0093-gallium|GALLIUM]] e o [[g0005-apt12|APT12]] utilizam HTRAN para criar infraestrutura de proxy multi-hop que obscurece a origem de suas comúnicações C2. O HTRAN instalado em hosts comprometidos cria nós intermediários na rede da vítima, redirecionando tráfego C2 através de múltiplos sistemas comprometidos antes de chegar ao C2 server real. Essa técnica de proxying interno via sistemas da própria vítima (living off the land para infraestrutura) torna o rastreamento de atribuição significativamente mais difícil e pode fazer o tráfego C2 parecer originado internamente na rede. **Plataformas:** Linux, Windows ## Técnicas Utilizadas - [[t1090-proxy|T1090 - Proxy]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1055-process-injection|T1055 - Process Injection]] ## Grupos que Usam - [[g0093-gallium|GALLIUM]] - [[g0005-apt12|APT12]] ## Relevância LATAM/Brasil O [[g0093-gallium|GALLIUM]], associado a operações de espionagem contra telecomúnicações e governo, tem relevância para operadoras de telecomúnicações brasileiras (Vivo/Telefônica, Claro, TIM, Oi) e entidades governamentais. O uso de HTRAN para criar infraestrutura de proxy usando redes de telecomúnicações comprometidas é particularmente preocupante para provedores brasileiros, que podem ter sistemas comprometidos sendo usados como pontos de relay para outras operações sem serem o alvo primário. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 3 (NetworkConnect):** Conexões TCP de longa duração em portas não-padrão (HTRAN usa portas configuráveis) entre hosts internos que normalmente não se comúnicam - **Firewall/NetFlow:** Fluxos de rede TCP persistentes entre workstations corporativas em volumes incomuns - indicativo de proxy relay HTRAN em host comprometido - **Sysmon Event ID 1 (ProcessCreaté):** Processo `htran.exe` ou binário renomeado escutando em porta TCP local - modo servidor de proxy **Regras de detecção:** - Sigma: `net_connection_win_htran_proxy.yml` - padrões de rede de HTRAN proxy (SigmaHQ) - YARA: `apt_htran_tool` - assinaturas de strings do binário HTRAN (repositórios de threat intelligence Chinês APT) ## Referências Adicionais - [MITRE ATT&CK - S0040](https://attack.mitre.org/software/S0040) - [SigmaHQ - HTRAN proxy detection](https://github.com/SigmaHQ/sigma) - 2024