Uma campanha direcionada de espionagem cibernética surgiu em todo o Sudeste Asiático, afetando especificamente organizações governamentais e de comunicação social em países vizinhos do Mar da China Meridional.
A campanha, que tem sido monitorizada ativamente desde o início de 2025, demonstra características avançadas de ameaça persistente, com foco em nações como Laos, Camboja, Singapura, Filipinas e Indonésia.
A cadeia de ataque começa com um arquivo aparentemente legítimo chamado “Proposal_for_Cooperation_3415.05092025.rar” que explora CVE-2025-8088, uma vulnerabilidade de passagem de caminho no software WinRAR.
Os invasores empregam um processo de infecção em vários estágios que demonstra seu conhecimento técnico e planejamento estratégico.
O comprometimento inicial ocorre através de e-mails de spear-phishing contendo o arquivo RAR malicioso, que aciona automaticamente a vulnerabilidade quando as vítimas tentam extrair o conteúdo.
Essa exploração permite que os agentes da ameaça instalem um script de persistência na pasta de inicialização do usuário usando a travessia de caminho combinada com uma técnica de fluxo de dados alternativo.
Os pesquisadores de segurança da CyberArmor identificaram esta operação sofisticada enquanto rastreavam atividades de espionagem sustentadas visando infraestrutura crítica e setores de informação.
A campanha demonstra uma clara preferência por técnicas de sideload de DLL em vários estágios de infecção.
Os governos e as organizações de comunicação social representam alvos de elevado valor porque influenciam directamente as decisões políticas, moldam a opinião pública e determinam o alinhamento estratégico internacional.
O arquivo WinRAR irá descartar um arquivo em lote, que por sua vez fará o download do próximo (Fonte – CyberArmor)
A campanha maliciosa opera em quatro estágios distintos, cada um projetado para manter a persistência e evitar a detecção por produtos de segurança.
Após a execução do conta-gotas inicial, um script em lote chamado “Windows Defender Definition Update.cmd” baixa cargas adicionais do Dropbox e estabelece persistência baseada em registro.
Os estágios subsequentes envolvem componentes de software legítimos, como o navegador OBS e o Adobe Creative Cloud Helper, sendo explorados para carregar arquivos DLL maliciosos por meio de sequestro de ordem de pesquisa.
Análise técnica do mecanismo de carregamento lateral de DLL
A técnica de sideload de DLL representa a principal estratégia de evasão empregada em toda esta campanha. No Estágio 2, os agentes da ameaça abusam de um executável de navegador de código aberto OBS legítimo para carregar automaticamente um arquivo libcef.dll modificado.
Esta biblioteca alterada executa código malicioso enquanto mantém a aparência de operação normal do software. O backdoor se comunica com os operadores por meio do Telegram usando um token de bot criptografado, fornecendo três comandos principais: execução de shell, captura de tela e recursos de upload de arquivos.
O Estágio 3 continua a abordagem de sideload de DLL explorando o componente Creative Cloud Helper da Adobe. O legítimo “Creative Cloud Helper.exe” carrega um arquivo CRClient.dll malicioso, que contém funcionalidade para descriptografar e executar a carga final do backdoor armazenada como “Update.lib”.
O processo de descriptografia utiliza uma técnica simples de codificação XOR, demonstrando que a criptografia sofisticada nem sempre é necessária para operações bem-sucedidas.
O trecho de código a seguir mostra a função de descriptografia: –
// Descriptografia XOR com chave codificada para (size_t i = 0; i < payload_size; i++) { decrypted_data(i) =crypted_data(i) ^ 0x3c; }
O backdoor final fornece recursos abrangentes de acesso remoto por meio de comunicação HTTPS com servidores de comando e controle localizados em public.megadatacloud(.)com e endereço IP 104.234.37(.)45.
O tráfego de rede permanece criptografado usando operações XOR, tornando a detecção um desafio para os sistemas tradicionais de monitoramento de segurança.
O backdoor suporta oito operações de comando distintas, incluindo execução de comando, carregamento de DLL, execução de shellcode, manipulação de arquivo e uma função kill switch que encerra operações após intervalos aleatórios.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
