# AN0639 — Analytic 0639 ## Descrição Este analítico detecta processos iniciais no macOS usando NSURLSession ou APIs similares para contatar domínios de staging conhecidos, seguidos de criação de um reverse shell ou RAT que se conecta a um segundo servidor não relacionado, indicando comprometimento de dois estágios com handoff de C2. A telemetria inclui logs de rede do macOS Endpoint Security Framework com correlação de domínio de staging e segundo destino, eventos de criação de processos com rastreamento de ancestralidade e temporalidade (Unified Logging) e alertas de detecção de endpoint para padrões de comportamento de RAT em processos originados de stagers. Essa detecção é relevante pois campanhas de espionagem direcionadas a macOS (como as do grupo APT associadas à Coreia do Norte visando desenvolvedores) frequentemente utilizam infraestrutura C2 multi-estágio para separar comprometimento inicial de operações persistentes. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0639](https://attack.mitre.org/detectionstrategies/DET0228#AN0639)*