# DET0853 — Detection of Develop Capabilities ## Descrição Esta estratégia de detecção endereça adversários que desenvolvem suas próprias capacidades ofensivas — malware customizado, exploits específicos para alvos, ferramentas de reconhecimento proprietárias e implantes furtivos. O desenvolvimento próprio de capacidades ([[t1587-develop-capabilities|T1587]]) indica atores sofisticados, geralmente grupos APT patrocinados por estados, que desejam evitar assinaturas conhecidas e atribuição. Grupos como [[g0007-apt28|APT28]], [[g0016-apt29|APT29]] e [[g0032-lazarus-group|Lazarus Group]] são conhecidos pelo desenvolvimento contínuo de ferramentas proprietárias — incluindo loaders, backdoors e frameworks completos de C2. A detecção desse comportamento é indireta: evidências surgem quando amostras de malware novo aparecem em sandboxes públicos, quando infraestrutura de teste é identificada via OSINT, ou quando overlaps de código com amostras anteriores são detectados em análise de malware. Fontes como VirusTotal, MalwareBazaar, e serviços de sandbox (Hybrid Analysis, Any.run) fornecem visibilidade sobre novas amostras que podem representar capacidades em desenvolvimento. Análise de código e clustering de comportamento permitem identificar famílias novas relacionadas a atores conhecidos antes que sejam usadas em operações ativas. ## Indicadores de Detecção - Novas amostras de malware submetidas a sandboxes públicos com código sobreposto a famílias conhecidas de APTs específicos - Domínios de teste ou staging identificados via DNS passivo com padrões similares a infraestrutura conhecida de atores - Repositórios públicos no GitHub com código de ferramentas ofensivas vinculados a perfis com histórico mínimo - Certificados TLS recém-emitidos para domínios com padrões de nomenclatura similares a campanhas passadas ## Técnicas Relacionadas - [[t1587-develop-capabilities|T1587 — Develop Capabilities]] - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an1985-analytic-1985|AN1985 — Analytic 1985]] --- *Fonte: [MITRE ATT&CK — DET0853](https://attack.mitre.org/detectionstrategies/DET0853)*