Os grupos de hackers patrocinados pelo Estado têm operado historicamente de forma isolada, cada um perseguindo a sua própria agenda nacional. No entanto, novas evidências revelam que dois dos mais perigosos actores de ameaças persistentes avançadas (APT) do mundo podem agora estar a trabalhar em conjunto.
O Gamaredon, alinhado à Rússia, e o grupo Lazarus, da Coreia do Norte, parecem estar a partilhar infra-estruturas operacionais, marcando uma mudança significativa no cenário global de ameaças cibernéticas.
A Rússia e a Coreia do Norte mantêm fortes laços políticos e militares há décadas. Em 2024, ambas as nações renovaram a sua aliança através de uma Parceria Estratégica Abrangente que inclui compromissos de defesa mútua.
Soldados norte-coreanos teriam sido destacados ao lado das forças russas na Ucrânia, demonstrando o aprofundamento da sua cooperação no campo de batalha.
Os pesquisadores de segurança da Gendigital identificaram esta colaboração potencial em 28 de julho de 2025, quando seus sistemas de monitoramento detectaram um endereço IP compartilhado ligando os dois grupos APT.
O servidor em 144(.)172(.)112(.)106 foi sinalizado pela primeira vez enquanto rastreava a infraestrutura de Comando e Controle do Gamaredon por meio de canais conhecidos de Telegram e Telegraph.
Endereço IP bloqueado (Fonte – GenDigital)
Apenas quatro dias depois, o mesmo servidor foi encontrado hospedando uma versão ofuscada do malware InvisibleFerret atribuído ao Lazarus.
A carga útil do malware foi entregue por meio de uma estrutura de URL que corresponde a campanhas anteriores do Lazarus, especificamente a operação ContagiousInterview que visava candidatos a emprego com mensagens falsas de recrutamento.
O hash de carga útil (SHA256: 128da948f7c3a6c052e782acfee503383bf05d953f3db5c603e4d386e2cf4b4d) confirmou sua atribuição às ferramentas Lazarus e combinou amostras conhecidas de ataques anteriores.
Infraestrutura compartilhada e mecanismo de entrega de malware
A descoberta de infraestruturas partilhadas traz grandes implicações para os defensores da segurança cibernética global. A Gamaredon está ativa desde 2013 e se concentra principalmente na espionagem cibernética contra agências governamentais ucranianas.
O Serviço de Segurança da Ucrânia vinculou o grupo ao Serviço Federal de Segurança (FSB) da Rússia em 2021, atribuindo mais de 5.000 ataques cibernéticos ao grupo.
O Lazarus, operacional desde 2009, passou da espionagem para ataques com motivação financeira, roubando mais de US$ 1,7 bilhão em criptomoedas de plataformas como Bybit, WazirX e AtomicWallet.
A carga útil do malware encontrada no servidor compartilhado usou um caminho de entrega idêntico observado em operações anteriores do Lazarus:-
http(://)144(.)172(.)112(.)106/carga útil/99/81
Se confirmada, esta sobreposição Gamaredon-Lazarus representaria o primeiro caso documentado de colaboração cibernética entre a Rússia e a Coreia do Norte em estado selvagem.
As equipas de segurança devem melhorar a análise de correlação de infraestruturas e dar prioridade à partilha de informações entre setores para detetar antecipadamente essas alianças emergentes e proteger ativos críticos destas ameaças coordenadas.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
