O Empire, framework open-source de pós-exploração originalmente centrado em PowerShell, é uma das ferramentas ofensivas mais utilizadas por equipes de red team e pesquisadores de segurança desde seu lançamento em 2015. Desenvolvido inicialmente pelo grupo PowerShellMafia no GitHub, o projeto passou por três grandes reescritas e hoje é mantido pela empresa BC Security, que o transformou em referência para testes de intrusão em ambientes Windows e Active Directory.

Pontos-chave

  • Framework open-source de pós-exploração lançado em 2015 pelo grupo PowerShellMafia
  • Versão 4.0 reescrita em Python 3 com suporte a C# e PowerShell
  • Mantido desde 2019 pela empresa BC Security
  • Foco em ambientes Windows e Active Directory
  • Usado em certificações como OSCP, OSEP e cursos da SANS
  • Integra-se com BloodHound para mapeamento de caminhos de ataque em domínios

O que é o Empire

O Empire surgiu em 2015 como projeto de Justin Warner e Matt Nelson, integrantes do coletivo conhecido como PowerShellMafia. A motivação era preencher lacuna existente em frameworks de comando e controle focados especificamente em Windows e, sobretudo, em explorar o poder do PowerShell como vetor de execução sem depender de binários compilados.

A primeira versão ganhou tração rápida porque contornava bloqueios tradicionais de antivírus: payloads em PowerShell executavam-se diretamente em memória, sem escrever arquivos no disco. Em pouco tempo, tornou-se ferramenta padrão em cursos de red team da SANS Institute e em certificações como OSCP, oferecida pela Offensive Security. A comunidade contribuiu com mais de 300 módulos cobrindo privesc, dump de credenciais e técnicas de evasão.

Em 2019, os desenvolvedores originais abandonaram o projeto. A empresa BC Security, fundada por Vinny Bogla e Jorge Orchilles, assumiu a manutenção e lançou a versão 3.0, totalmente reescrita em Python 3. Em 2022, a versão 4.0 trouxe arquitetura modular com suporte simultâneo a agentes PowerShell, C# e Python, ampliando o alcance para ambientes Linux e macOS. A mudança para C# respondeu diretamente às defesas da Microsoft contra PowerShell.

Funcionalidades principais

O Empire organiza-se em torno de agentes remotos (stagers) e servidor de comando e controle central, com módulos cobrindo todo o ciclo de pós-exploração:

  • Stagers: geradores de payload para PowerShell, C#, Python e HTA, com técnicas de bypass para AMSI e Windows Defender
  • Listeners: servidores C2 com suporte a HTTP, HTTPS, redirectores e comunicação via Dropbox ou OneDrive como canal de exfiltração
  • Módulos de exploração: biblioteca com mais de 300 módulos para privesc, dump de credenciais LSASS, pass-the-hash e abusos de Active Directory via BloodHound
  • Modificação de módulos: integração com PowerView, PowerUp e Invoke-Mimikatz para enumeração e exploração de domínios Windows
  • StarKiller: interface gráfica opcional desenvolvida em Electron para gerenciar múltiplos agentes e campanhas simultâneas
  • Bypass de defesas: técnicas para evadir AMSI, ETW (Event Tracing for Windows) e CLM (Constrained Language Mode)

Casos de uso na prática

Equipes de red team corporativo utilizam o Empire para simular adversários em ambientes Windows e Active Directory, testando a capacidade de detecção de equipes azuis. Bancos e instituições financeiras frequentemente contratam exercícios que envolvem a ferramenta para validar regras de SIEM e respostas de EDR.

Em certificações como OSEP (Offensive Security Experienced Penetration Tester) e cursos da SANS como SEC560 e SEC660, o Empire é ferramenta de estudo obrigatória. A Offensive Security incluiu-o em laboratórios de prática por sua relevância em ambientes corporativos reais. Pesquisadores independentes usam a ferramenta para validar técnicas documentadas no MITRE ATT&CK e desenvolver contramedidas testáveis.

No campo ofensivo criminoso, variantes do Empire foram identificadas em campanhas de ransomware desde 2018. A ESET documentou em 2021 o uso do framework por grupos cibercriminosos voltados ao roubo de credenciais bancárias na América Latina, incluindo operações que afetaram instituições brasileiras. A CrowdStrike também reportou uso por grupos de espionagem patrocinados por Estados.

Relevância no mercado de ferramentas

O Empire tornou-se referência para ataques baseados em PowerShell e ambientes Windows, mas perdeu espaço para alternativas comerciais como Cobalt Strike e projetos mais modernos como Sliver, Havoc e Mythic. Ainda assim, mantém relevância por ser gratuito, open-source e altamente extensível.

A BC Security reporta mais de 8 mil estrelas no GitHub e comunidade ativa de contribuidores. A empresa monetiza oferecendo treinamentos, certificações próprias e suporte comercial opcional, mantendo o código aberto sob licença BSD-3. Em 2023, a empresa lançou o projeto Mythic Plug-in para Empire, integrando-o ao framework Mythic de C2 modular e ampliando interoperabilidade entre ferramentas.

A Microsoft reforçou controles contra scripts maliciosos em versões recentes do Windows, com AMSI (Anti-Malware Scan Interface), PowerShell Constrained Language Mode e bloqueios por defeito de execução remota. Isso reduziu a eficácia do Empire em ambientes atualizados, mas o framework evoluiu com técnicas de bypass e migração para agentes em C# que contornam essas defesas. A corrida entre ofensiva e defensiva permanece intensa.

Considerações finais sobre Empire

O Empire segue como ferramenta de referência para profissionais de segurança ofensiva que precisam de solução gratuita e modular para ambientes Windows. Para conhecer alternativas comerciais e open-source, consulte a categoria de ferramentas de cibersegurança deste portal e a reportagem sobre o Cobalt Strike. O código-fonte está disponível no GitHub da BC Security.