Uma nova ameaça surgiu no cenário da segurança cibernética à medida que especialistas em segurança descobrem um serviço privado de teste de segurança de aplicativos fora de banda (OAST) operando na infraestrutura do Google Cloud.
Essa operação misteriosa se destaca das atividades típicas de varredura de exploração porque utiliza infraestrutura personalizada em vez de depender de serviços públicos. Os invasores têm realizado uma campanha focada que atinge regiões específicas com mais de 200 vulnerabilidades diferentes.
Entre outubro e novembro de 2025, os investigadores observaram cerca de 1.400 tentativas de exploração abrangendo mais de 200 CVEs ligados a esta operação.
Ao contrário da maioria dos invasores que usam serviços OAST públicos, como oast.fun ou interact.sh, esse agente de ameaça opera seu próprio domínio OAST privado em detectors-testing.com.
Essa configuração incomum chamou a atenção quando os retornos de chamada começaram a aparecer nos subdomínios de i-sh.detectors-testing.com, um domínio não associado a nenhum provedor OAST conhecido ou estrutura de verificação popular.
Os pesquisadores de segurança do VulnCheck identificaram esta operação depois de perceber padrões incomuns no tráfego do Canary Intelligence.
A campanha combina modelos de digitalização padrão da Nuclei com cargas personalizadas para expandir seu alcance. O que torna esta operação particularmente interessante é que todas as atividades observadas visaram sistemas implantados no Brasil, sugerindo um claro foco regional.
Embora os mesmos endereços IP dos invasores tenham sido sinalizados na Sérvia e na Turquia por meio de relatórios do AbuseIPDB, o conjunto de dados do VulnCheck mostrou atividade concentrada inteiramente em alvos brasileiros.
A infraestrutura por trás dessa operação consiste em vários endereços IP do Google Cloud, com seis endereços usados como scanners de exploração e um como host OAST.
O uso do Google Cloud oferece vantagens práticas para os invasores, uma vez que os defensores raramente bloqueiam os principais provedores de nuvem dos EUA, e o tráfego para as redes do Google se mistura facilmente com a comunicação normal em segundo plano.
A operação está em funcionamento desde pelo menos Novembro de 2024, indicando um esforço sustentado a longo prazo, em vez de verificações rápidas e oportunistas.
Evidências de um diretório aberto na porta 9000 revelaram um arquivo de classe Java modificado chamado TouchFile.class, originalmente documentado em exemplos de exploração do Fastjson 1.2.47.
Os invasores estenderam a versão básica para aceitar comandos personalizados e solicitações HTTP por meio de parâmetros, mostrando que modificam ativamente as ferramentas de exploração disponíveis publicamente, em vez de usá-las inalteradas.
O código descompilado mostra que, se nenhum parâmetro for fornecido, ele executa um comando padrão para touch /tmp/success3125, mas quando os parâmetros cmd ou http estão presentes, ele executa esses comandos ou faz solicitações HTTP de saída.
Análise Técnica do Mecanismo de Exploração
Os invasores usam uma combinação de modelos Nuclei atuais e desatualizados para investigar vulnerabilidades. Um exemplo é o antigo modelo grafana-file-read.yaml, que foi removido do repositório oficial de modelos de núcleos no início de outubro de 2025.
Encontrar esse modelo mais antigo em uso ativo sugere que os invasores usam scanners de terceiros baseados em Nuclei, como dddd, ou simplesmente não atualizaram suas ferramentas de digitalização.
Essa combinação de modelos novos e antigos os ajuda a lançar uma rede mais ampla entre diferentes tipos de vulnerabilidade.
O diretório aberto na porta 9000 hospeda um arquivo de classe Java (Fonte – VulnCheck)
As cargas de exploração seguem um padrão padrão em que a exploração bem-sucedida aciona o host comprometido para fazer solicitações HTTP de volta aos subdomínios OAST controlados pelo invasor.
Por exemplo, em uma tentativa contra o CVE-2025-4428 que afeta o Ivanti Endpoint Manager Mobile, a carga forçaria o sistema da vítima a entrar em contato com d4bqsd6e47mo47d93lpgq55d3j111y6em.i-sh.detectors-testing.com.
Este mecanismo de retorno de chamada permite que os invasores verifiquem quais sistemas estão vulneráveis sem a necessidade de acesso direto, tornando a detecção mais desafiadora para os defensores.
O host OAST em 34.136.22.26 apresenta consistentemente serviços Interactsh nas portas 80, 443 e 389, confirmando seu papel como um terminal de comando e controle dedicado para coletar retornos de chamada de verificação de exploração de sistemas comprometidos em todo o mundo.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
