# Imminent Monitor > [!danger] RAT Comercial - Alto Impacto LATAM > Ferramenta de acesso remoto comercial utilizada pelo [[g0099-blind-eagle-apt-c-36|APT-C-36]] em campanhas de espionagem contra a Colômbia e América do Sul. Versões crackeadas continuam em circulação ativa após o desmantelamento da infraestrutura original em 2019. ## Visão Geral **Imminent Monitor** (também conhecido como IM-RAT) foi uma ferramenta de acesso remoto (RAT) comercial vendida entre 2012 e 2019 em fóruns de crimeware. Com capacidades abrangentes de vigilância - captura de áudio, vídeo, keylogging, roubo de credenciais e controle remoto via RDP - o Imminent Monitor atraiu tanto criminosos comuns quanto grupos de espionagem patrocinados por Estado. Em novembro de 2019, a Europol coordenou uma operação internacional que resultou em 13 prisões em 9 países e desmantelamento da infraestrutura de venda. O impacto da operação foi limitado: versões crackeadas e clones continuam circulando em fóruns underground, mantendo o Imminent Monitor como ameaça ativa. O grupo [[g0099-blind-eagle-apt-c-36|APT-C-36]] (Blind Eagle), ator de espionagem com foco na América Latina, usou o Imminent Monitor como ferramenta primária de acesso em campanhas contra instituições governamentais e financeiras da Colômbia. **Plataformas:** Windows ## Como Funciona O Imminent Monitor opera com arquitetura cliente-servidor clássica de RAT. O operador utiliza um painel de controle (builder + controller) para gerar implantes customizados. Os implantes são distribuídos via phishing com documentos maliciosos (frequentemente usando lures de órgãos governamentais como a DIAN - autoridade fiscal colombiana). Após a infecção, o implante estabelece conexão persistente com o servidor C2. O painel oferece interface gráfica com funcionalidades organizadas em módulos: - **Keylogger:** captura de todas as teclas digitadas - **Webcam/Microfone:** acesso remoto a câmera e áudio em tempo real - **File Manager:** navegação, upload e download de arquivos - **Password Stealer:** extração de credenciais de browsers (Chrome, Firefox, IE) - **Remote Desktop:** controle RDP do sistema comprometido - **Process Manager:** listagem e encerramento de processos - **Crypto Miner:** hijacking de CPU para mineração (T1496.001) O implante usa [[t1027-obfuscated-files-or-information|ofuscação via ConfuserEx]] e técnicas de [[t1140-deobfuscatedecode-files-or-information|deobfuscação em runtime]] para evadir análise estática. ## Uso Ofensivo ```mermaid graph TB A["📧 Spear-phishing<br/>Documento DIAN/Governo"] --> B["🔗 Download via URL<br/>Payload disfarçado"] B --> C["💥 Execução<br/>ConfuserEx ofuscado"] C --> D["🔒 Persistência<br/>Registro/Startup"] D --> E["📡 Conexão C2<br/>TCP customizado"] E --> F["🎥 Webcam/Mic<br/>T1125 / T1123"] E --> G["⌨️ Keylogger<br/>T1056.001"] E --> H["🔑 Roubo Credenciais<br/>T1555.003"] F --> I["📤 Exfiltração<br/>T1041"] G --> I H --> I ``` **Cadeia típica - APT-C-36:** ```mermaid graph TB A["🇨🇴 Alvo Colombiano<br/>DIAN/MinHacienda"] --> B["📎 Lure fiscal<br/>Declaração imposto"] B --> C["📦 Implante IM-RAT<br/>via Dropbox/Bit.ly"] C --> D["⚙️ Instalação silenciosa<br/>Arquivos ocultos"] D --> E["🕵️ Reconhecimento<br/>T1057 / T1083"] E --> F["📸 Vigilância<br/>Webcam + Keylog"] F --> G["💾 Exfiltração dados<br/>documentos gov"] G --> H["🗑️ Limpeza artefatos<br/>T1070.004"] ``` ## Timeline | Ano | Evento | |-----|--------| | 2012 | Imminent Monitor comercializado em fóruns de crimeware por ~$25 USD | | 2014 | Versão crackeada começa a circular gratuitamente em fóruns underground | | 2017 | [[g0099-blind-eagle-apt-c-36\|APT-C-36]] (Blind Eagle) começa a usar IM-RAT contra alvos colombianos | | 2019 | [[g1018-ta2541\|TA2541]] identificado usando Imminent Monitor contra setor de aviação | | 2019-11 | Operação Europol: 13 prisões em 9 países, desmantelamento da infraestrutura | | 2020+ | Versões crackeadas continuam distribuídas; campanhas [[g0099-blind-eagle-apt-c-36\|APT-C-36]] persistem com variantes | | 2023 | APT-C-36 detectado usando variantes do Imminent Monitor em novas campanhas | ## TTPs | ID | Nome | Uso pelo Imminent Monitor | |----|------|--------------------------| | [[t1056-001-keylogging\|T1056.001]] | Keylogging | Captura todas as teclas digitadas pela vítima | | [[t1123-audio-capture\|T1123]] | Audio Capture | Microfone remoto - vigilância de reuniões | | [[t1125-video-capture\|T1125]] | Video Capture | Webcam remota - reconhecimento visual | | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credentials from Web Browsers | Extrai senhas de Chrome, Firefox, IE | | [[t1027-obfuscated-files-or-information\|T1027]] | Obfuscated Files | ConfuserEx obfuscation do .NET payload | | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Remote Desktop Protocol | Controle remoto da tela da vítima | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltration Over C2 | Dados exfiltrados pelo canal C2 principal | | [[t1070-004-file-deletion\|T1070.004]] | File Deletion | Remoção de artefatos pós-exfiltração | | [[t1083-file-and-directory-discovery\|T1083]] | File Discovery | Reconhecimento de arquivos e diretórios | | [[t1057-process-discovery\|T1057]] | Process Discovery | Enumeração de processos em execução | ## Atores que Utilizam - [[g0099-blind-eagle-apt-c-36|APT-C-36]] (Blind Eagle) - principal utilizador na América Latina - [[g1018-ta2541|TA2541]] - campanhas contra setor de aviação global ## Relevância LATAM/Brasil O Imminent Monitor é uma das ferramentas mais relevantes para a América Latina pela centralidade do seu uso pelo [[g0099-blind-eagle-apt-c-36|APT-C-36]], um grupo de ameaça persistente avançada com foco quase exclusivo na região. O APT-C-36 usa lures temáticos locais - especialmente documentos que imitam a DIAN (Dirección de Impuestos y Aduanas Nacionales da Colômbia), o Ministério da Fazenda e outros órgãos governamentais - para enganar funcionários públicos e executivos corporativos. As campanhas documentadas atingem prioritariamente a Colômbia, com expansão para Ecuador, Venezuela e Brasil. O padrão de ataque é altamente regionalizado: os atacantes demonstram conhecimento do contexto fiscal e burocrático local, tornando os lures mais convincentes do que campanhas genéricas. Em organizações brasileiras, funcionários com relações comerciais com países andinos ou que recebem correspondência de órgãos regulatórios regionais estão particularmente expostos. A acessibilidade do Imminent Monitor (versões gratuitas crackeadas) democratizou o acesso a capacidades de vigilância, resultando em sua adoção por atores menos sofisticados em toda a América Latina - desde cyberstalking e espionagem corporativa até operações de inteligência patrocinadas por Estado. ## Detecção **Indicadores de comprometimento:** - Processos .NET suspeitos com alto consumo de rede e alto grau de ofuscação - Conexões TCP persistentes para IPs/domínios não categorizados em intervalos regulares - Criação de arquivos em pastas ocultas sob `%APPDATA%` ou `%TEMP%` - Acesso simultâneo a webcam e microfone por processo não identificado **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Processos .NET acessando câmera/microfone via Native API - **Sysmon Event ID 3 (NetworkConnect):** Conexões TCP de saída de processos `Imminent Monitor.exe`, `IM.exe`, ou variantes renomeadas - **Windows Event ID 4663:** Acesso a dispositivos de captura de áudio/vídeo - **EDR behavioral:** Detecção de keylogger via API hook em `SetWindowsHookEx` **Regras de detecção:** - Sigma: `proc_creation_win_imminent_monitor.yml` - detecta execução de componentes IM-RAT (SigmaHQ) - YARA: regras para strings características do ConfuserEx aplicado ao Imminent Monitor - Network: bloqueio de C2s associados ao APT-C-36 via Threat Intelligence feeds regionais ## Referências - [1](https://attack.mitre.org/software/S0434) MITRE ATT&CK - S0434 Imminent Monitor (2024) - [2](https://www.europol.europa.eu/media-press/newsroom/news/13-arrests-9-countries-global-action-against-imminent-monitor-rat) Europol - 13 Arrests in 9 Countries: Global Action Against Imminent Monitor RAT (2019) - [3](https://unit42.paloaltonetworks.com/threat-assessment-blindeagle/) Unit 42 - Threat Assessment: Blind Eagle (APT-C-36) (2023) - [4](https://www.welivesecurity.com/la-es/2021/02/16/blindeagle-apt-c-36-dian-colombia/) ESET - BlindEagle APT-C-36 usando DIAN Colombia como lure (2021) - [5](https://threatpost.com/imminent-monitor-rat-taken-down-arrests/150464/) ThreatPost - Imminent Monitor RAT Taken Down With Arrests in 9 Countries (2019)