# Out1 > Tipo: **tool** · S0594 · [MITRE ATT&CK](https://attack.mitre.org/software/S0594) ## Descrição [[s0594-out1|Out1]] é uma ferramenta de acesso remoto (RAT) escrita em Python, exclusivamente utilizada pelo [[g0069-mango-sandstorm|MuddyWater]] - grupo de ameaça patrocinado pelo Estado iraniano (MOIS) - desde pelo menos 2021. Diferente de frameworks de C2 genéricos, Out1 foi desenvolvido específicamente para as operações do MuddyWater, sendo distribuído geralmente através de documentos de phishing com macros ou scripts de instalação disfarçados de software legítimo. A ferramenta fornece ao operador capacidades básicas de RAT: execução de comandos via Windows Command Shell, coleta de dados do sistema local, exfiltração de e-mails locais e comunicação com C2 via protocolos web (HTTP/HTTPS). Seu código Python é frequentemente ofuscado e compilado para executável Windows usando PyInstaller ou py2exe para evitar detecção baseada em extensão de arquivo. O uso de Python como linguagem de desenvolvimento permite ao [[g0069-mango-sandstorm|MuddyWater]] iterar rapidamente e criar variantes com pequenas modificações para evadir assinaturas conhecidas. Out1 representa a categoria de ferramentas "small footprint" preferidas por grupos de espionagem que priorizam furtividade sobre capacidade: comúnicações via HTTPS com domínios legítimos (geralmente abusando de serviços cloud), ausência de persistência automática (dependendo de mecanismos externos), e funcionalidade mínima suficiente para os objetivos de coleta de inteligência do MuddyWater. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1114-001-local-email-collection|T1114.001 - Local Email Collection]] ## Grupos que Usam - [[g0069-mango-sandstorm|MuddyWater]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Execução de executáveis Python compilados com PyInstaller (identificáveis pelo IMPHASH e strings internas como `_MEI`, `pyconfig.h`) em diretórios temporários ou de usuário - **Sysmon Event ID 3 (NetworkConnect):** Conexões HTTP/HTTPS periódicas (beaconing) para domínios novos ou de baixa reputação a partir de processos Python compilados - **EDR:** Detecção de comportamento de RAT - processo executando comandos cmd.exe sequencialmente + lendo arquivos de e-mail locais (`.pst`, `.ost`) + enviando dados via HTTP **Regras de detecção:** - YARA: Strings internas de Out1 como funções de coleta de e-mail e comandos específicos de exfiltração (referências Mandiant/Microsoft) - Sigma: `proc_creation_win_python_compiled_execution.yml` - detecta executáveis Python compilados por PyInstaller em locais suspeitos ## Relevância LATAM/Brasil [[g0069-mango-sandstorm|MuddyWater]] e suas ferramentas como Out1 têm como foco primário alvos no Oriente Médio e Turquia, mas organizações brasileiras com parcerias ou operações em países-alvo (Israel, Arábia Saudita, Turquia) podem ser alvos colaterais ou pontos de pivô. Setores de telecomúnicações, governo e defesa no Brasil que mantêm relações com empresas do Oriente Médio devem considerar o MuddyWater em seus modelos de ameaça. A técnica de phishing com documentos em PDF/Word usada para distribuir Out1 é idêntica às campanhas de phishing financeiro comuns no Brasil, tornando difícil a distinção sem inteligência de ameaças específica. ## Referências - [MITRE ATT&CK - S0594](https://attack.mitre.org/software/S0594)