# CSPY Downloader > Tipo: **tool** · S0527 · [MITRE ATT&CK](https://attack.mitre.org/software/S0527) ## Descrição [[s0527-cspy-downloader|CSPY Downloader]] é uma ferramenta de download de segunda fase projetada específicamente para evadir análise automatizada e entregar payloads adicionais, utilizada exclusivamente pelo grupo norte-coreano [[g0094-kimsuky|Kimsuky]]. A ferramenta implementa múltiplas técnicas anti-análise: verificações de sandbox (identificação de VM, tempo de execução artificial), code signing com certificados roubados para aparentar legitimidade, e mascaramento como serviços Windows legítimos ([[t1036-004-masquerade-task-or-service|T1036.004]]). O CSPY Downloader é distribuído via documentos spear-phishing direcionados e, após execução, verifica o ambiente para determinar se está sendo analisado. Se não detectar ambiente de análise, baixa e executa o payload de próxima etapa via HTTP (geralmente backdoors do arsenal Kimsuky), modifica o registro para persistência, e se deleta para reduzir artefatos forenses. O uso de certificados de code signing roubados o torna particularmente evasivo contra soluções que confiam exclusivamente em assinaturas digitais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1070-indicator-removal|T1070 - Indicator Removal]] ## Grupos que Usam - [[g0094-kimsuky|Kimsuky]] ## Relevância LATAM/Brasil O [[g0094-kimsuky|Kimsuky]] tem como alvos primários entidades relacionadas à política coreana e nuclear - incluindo think tanks, organizações governamentais e acadêmicas. O Brasil, como país com relações diplomáticas com ambas as Coreias e participação em fóruns internacionais de não-proliferação (IAEA), é um alvo plausível para campanhas de espionagem do Kimsuky. Universidades brasileiras e institutos de pesquisa em energia nuclear (como o IPEN e a Marinha) estão no perfil de alvos documentados do grupo. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Binários com certificado de assinatura não relacionado ao publisher declarado; processos criados com delay artificial (sleep antes de execução de payload) - **Windows Security Event ID 4688:** Processo criado com linha de comando contendo URLs para download via HTTP seguido de execução de binário em `%TEMP%` - **Sysmon Event ID 12/13 (RegistryEvent):** Modificações em chaves de autorun (`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`) por processos em diretórios temporários **Regras de detecção:** - Sigma: `proc_creation_win_hktl_cspy_downloader.yml` - indicadores conhecidos de CSPY Downloader (SigmaHQ) - YARA: `apt_kimsuky_cspy` - assinaturas de strings e estrutura do CSPY Downloader (repositórios de threat intelligence de Kimsuky) ## Referências Adicionais - [MITRE ATT&CK - S0527](https://attack.mitre.org/software/S0527) - [Cybereason - Kimsuky CSPY Downloader Analysis](https://www.cybereason.com/blog/research/back-to-the-future-inside-the-kimsuky-kgh-spyware-suite) - 2020-11-23