# AN0375 — Analytic 0375 ## Descrição Detecta criação de perfis de tunelamento de CLI do VSCode ou JetBrains seguida de acesso remoto persistente via túneis integrados à IDE, potencialmente autenticados via contas GitHub ou JetBrains. A telemetria inclui eventos de criação de processos para `code tunnel` ou `gateway`, análise de conexões de saída para endpoints `devtunnels.ms` e criação de arquivos de configuração de túnel em diretórios de perfil do usuário. Essa analítica é relevante porque adversários com acesso inicial usam túneis de IDE como canal de C2 persistente e altamente difícil de bloquear, pois o tráfego passa por infraestrutura de nuvem legítima de fabricantes de software. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0375](https://attack.mitre.org/detectionstrategies/DET0133#AN0375)*