Uma sofisticada campanha de ataque conhecida como Operação DupeHike emergiu como uma ameaça significativa aos ambientes corporativos russos, visando especificamente funcionários dos departamentos de recursos humanos, folha de pagamento e administrativo.
A campanha, atribuída ao grupo de ameaças UNG0902, utiliza documentos falsos cuidadosamente elaborados com temas em torno de bônus de funcionários e políticas financeiras internas para entregar um ecossistema de malware até então desconhecido às máquinas das vítimas.
O ataque começa com e-mails de spearphishing contendo arquivos ZIP disfarçados de documentos corporativos legítimos.
Esses arquivos são chamados de “Премия 2025.zip” (Bonus.Zip em inglês) e contêm arquivos de atalho maliciosos (.LNK) que parecem ser documentos PDF, usando nomes de arquivos como “Document_1_On_the_size_of_the_annual_bonus.pdf.lnk” para enganar os destinatários e fazê-los abri-los.
Os analistas de segurança da Seqrite identificaram esta campanha após descobrirem um arquivo ZIP malicioso no VirusTotal em 21 de novembro de 2025.
A equipe de pesquisa observou que o ator da ameaça demonstra uma compreensão sofisticada dos fluxos de trabalho de RH corporativos russos, elaborando documentos falsos que descrevem estruturas de bônus realistas vinculadas a métricas de desempenho, KPIs e metas organizacionais.
O documento de atração faz referência ao Código do Trabalho da Rússia e estabelece uma taxa de bónus predefinida de quinze por cento do salário anual, criando material convincente de engenharia social para atingir os funcionários dos departamentos financeiros.
Mecanismo de infecção e análise técnica
A cadeia de ataque opera em três estágios distintos, começando com a execução maliciosa do LNK. Quando uma vítima abre o arquivo de atalho, o PowerShell é executado oculto em segundo plano usando sinalizadores específicos: NoNI, nop e w parâmetros ocultos.
Cadeia de infecção (Fonte – Seqrite)
O script usa Invoke-WebRequest para baixar um implante de segundo estágio chamado DUPERUNNER do servidor controlado pelo invasor em 46.149.71.230.
DUPERUNNER, um implante compilado em C++, realiza operações críticas de reconhecimento e injeção. O malware contém múltiplas funções projetadas para manter a persistência e evitar a detecção.
Ele enumera processos alvo, incluindo explorer.exe, notepad.exe e msedge.exe para fins de injeção, enquanto baixa simultaneamente PDFs falsos para exibição aos usuários, criando a ilusão de processamento legítimo de documentos.
O implante então realiza injeção remota de thread para carregar a carga final: um farol AdaptixC2. Este beacon de comando e controle usa solicitações HTTP POST para se comunicar com a infraestrutura do invasor, permitindo a execução remota de comandos e recursos de exfiltração de dados.
O beacon emprega resolução de API dinâmica usando hashing estilo djb2 para evitar assinaturas de detecção estática.
Configuração de porta padrão para AdaptixC2 HTTP Beacon (Fonte – Seqrite)
Os pesquisadores da Seqrite extraíram artefatos de configuração revelando os números de identificação do beacon e a infraestrutura de comando e controle hospedada em servidores sob ASN 48282 e AS 9123, operados por VDSINA-AS e TIMEWEB-AS.
A infraestrutura demonstra alterações na configuração da porta, desde a porta 80 durante a entrega do implante até a porta 443 para operações finais de beacon, indicando o refinamento contínuo da infraestrutura de ataque.
Esta campanha representa um cenário de ameaças em evolução, onde a engenharia social sofisticada se combina com capacidades avançadas de malware para atingir ambientes corporativos na Europa Oriental.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
