2026-04-30 00:00
← VoltarUma campanha maliciosa sofisticada e de alta resiliência foi identificada pelo Atos Threat Research Center (TRC) em março de 2026. Esta operação visa especificamente contas profissionais de alto privilégio de administradores corporativos, engenheiros de DevOps e analistas de segurança, personificando utilitários administrativos dos quais dependem para operações diárias. Ao integrar o envenenamento por Search Engine Order (SEO), arquitetura de distribuição GitHub de estágio duplo e resolução de comando e controle (C2) descentralizada baseada em blockchain, os atores de ameaças estabeleceram um mecanismo de entrega e persistência altamente resiliente. A campanha utiliza uma cadeia de entrega em várias camadas projetada para evitar remoções no nível da plataforma e manter uma classificação elevada nos mecanismos de pesquisa. O ataque começa com envenenamento de SEO em vários mecanismos de pesquisa, incluindo Bing, Yahoo, DuckDuckGo e Yandex. Isso garante que resultados maliciosos para termos de nicho de TI sejam classificados no topo dos resultados de pesquisa. Os usuários são inicialmente direcionados para um repositório GitHub de "fachada" primário. Esses repositórios são otimizados para SEO, mas não contêm código malicioso – apenas um arquivo README com aparência profissional.
Para manter a flexibilidade operacional, o README contém um link que direciona a vítima para um segundo repositório GitHub oculto. Ele serve como o verdadeiro ponto de distribuição do malware. Ao...
Uma campanha maliciosa sofisticada e de alta resiliência foi identificada pelo Atos Threat Research Center (TRC) em março de 2026. Esta operação visa especificamente contas profissionais de alto privilégio de administradores corporativos, engenheiros de DevOps e analistas de segurança, personificando utilitários administrativos dos quais dependem para operações diárias. Ao integrar o envenenamento por Search Engine Order (SEO), arquitetura de distribuição GitHub de estágio duplo e resolução de comando e controle (C2) descentralizada baseada em blockchain, os atores de ameaças estabeleceram um mecanismo de entrega e persistência altamente resiliente. A campanha utiliza uma cadeia de entrega em várias camadas projetada para evitar remoções no nível da plataforma e manter uma classificação elevada nos mecanismos de pesquisa. O ataque começa com envenenamento de SEO em vários mecanismos de pesquisa, incluindo Bing, Yahoo, DuckDuckGo e Yandex. Isso garante que resultados maliciosos para termos de nicho de TI sejam classificados no topo dos resultados de pesquisa. Os usuários são inicialmente direcionados para um repositório GitHub de "fachada" primário. Esses repositórios são otimizados para SEO, mas não contêm código malicioso – apenas um arquivo README com aparência profissional.
Para manter a flexibilidade operacional, o README contém um link que direciona a vítima para um segundo repositório GitHub oculto. Ele serve como o verdadeiro ponto de distribuição do malware. Ao separar a “vitrine” otimizada para SEO da conta de entrega de carga útil, os atores da ameaça podem alternar rapidamente seus repositórios de distribuição se sinalizados, enquanto a fachada primária indexada por pesquisa permanece ativa e intocada. A campanha caracteriza-se pelo foco na pilha administrativa. Ao distribuir instaladores MSI maliciosos disfarçados de ferramentas como PsExec, AzCopy, Sysmon, LAPS e Kusto Explorer, o adversário realiza perfis automatizados de vítimas. Esses utilitários são usados quase exclusivamente por pessoal com permissões elevadas de rede e sistema. Uma infecção bem-sucedida na estação de trabalho de um administrador pode fornecer as “chaves do reino”, o que pode facilitar o movimento lateral dentro do ambiente empresarial. O aspecto tecnicamente mais significativo da campanha é a implementação do Dead Drop Resolving (DDR) baseado em Blockchain.
Depois que o MSI malicioso é executado, o malware não alcança um domínio ou endereço IP codificado, que poderia ser facilmente colocado na lista de bloqueio. Em vez disso, o malware inicia repetidamente uma consulta a um endpoint RPC publicEthereum (ETH). O malware é codificado com um endereço de contrato inteligente específico no blockchain Ethereum. Ao consultar este contrato, o malware recupera dinamicamente o endereço do servidor C2 ativo. Esta técnica proporciona ao adversário extrema resiliência: Esta investigação fornece uma análise técnica abrangente da campanha actual, baseada na observação a longo prazo e na detonação activa num ambiente controlado. Nossa pesquisa vai além dos vetores de entrega inicial para examinar a infraestrutura sofisticada e os comportamentos pós-exploração. Os seguintes pontos de dados representam a mecânica operacional central da campanha, incluindo: NOTA: Durante a finalização da pesquisa, identificamos um alerta preliminar da KISA&KrCERT/CC sobre a campanha deste ator de ameaça -LINK. Embora o seu relatório inicial tenha proporcionado visibilidade antecipada, a nossa investigação longitudinal confirma que a campanha continua altamente activa e sofreu uma maturação técnica significativa.
Nossa investigação confirma ainda que o malware está evoluindo, com diversas variantes distintas e infraestrutura C2 adicional identificada desde o início da campanha. A visualização abaixo demonstra a cadeia de distribuição de dois estágios, onde o repositório de fachada otimizado para SEO redireciona usuários desavisados para uma conta secundária do GitHub que hospeda o MSI malicioso. Essa arquitetura modular permite que os agentes da ameaça preservem suas classificações nos mecanismos de pesquisa, mesmo que as contas individuais de entrega de carga útil sejam retiradas. O ciclo de vida da intrusão começa com uma consulta de pesquisa via Bing (também Yahoo, DuckDuckGo, Yandex) para utilitário administrativo de TI especializado S. Por meio do envenenamento agressivo de SEO, os agentes da ameaça garantem que o repositório GitHub de fachada apareça com destaque entre os principais resultados de pesquisa. Neste caso, um usuário que procura o Kusto Explorer – uma ferramenta crítica para engenheiros e analistas que consultam o Azure Data Explorer via KQL – é levado a uma vitrine não maliciosa projetada para construir confiança inicial. O primeiro repositório que o usuário abre é uma vitrine que representa a ferramenta administrativa de destino. Esse repositório de fachada é intencionalmente limpo de malware, agindo apenas como uma porta de entrada para o segundo estágio malicioso do processo de entrega.
Graças a esse design, ele mantém uma alta classificação nos mecanismos de pesquisa.Primeiro repositório GitHub - usado apenas como fachada Ao incorporar um link no README de um repositório de fachada limpo, os Atores de Ameaças separam efetivamente sua visibilidade de pesquisa de sua distribuição de malware. Este segundo repositório hospeda o malware real, enquanto o primeiro permanece intacto. Essa estratégia permite uma recuperação rápida após uma queda, já que o adversário só precisa atualizar uma única URL para restaurar sua cadeia de infecção. Essa separação é fundamental para a longevidade da campanha, já que a landing page inicial parece benigna tanto para os usuários quanto para as ferramentas de segurança. O redirecionamento leva o usuário a um segundo repositório GitHub onde o software malicioso está hospedado. Este site secundário atua como o estágio final na cadeia de distribuição, fornecendo o download direto do malware que se faz passar por ferramentas administrativas. O ator da ameaça sequestrou com sucesso os resultados da pesquisa para um conjunto maior de pilha administrativa do Windows, colocando lojas maliciosas no topo do Bing. Essa presença dominante na pesquisa mascara efetivamente a ameaça, já que os repositórios de fachada aparecem como os principais locais de download verificados para ferramentas de TI essenciais.
Essa alta visibilidade na primeira página é o fator crítico que poderia ajudar no alcance mais amplo da campanha nos ambientes corporativos. Entre o início de dezembro de 2025 e 1º de abril de 2026, o agente da ameaça implantou 44 fachadas GitHub separadas, cada uma falsificando uma ferramenta administrativa ou de desenvolvedor diferente. Esta abordagem de alto volume indica um esforço sustentado para maximizar a visibilidade dos mecanismos de pesquisa e capturar uma gama diversificada de vítimas de alto privilégio. A campanha Identified Threat Actors visa especificamente os conjuntos de ferramentas profissionais de administradores corporativos, engenheiros de sistemas e profissionais de segurança. Ao contrário das campanhas tradicionais de malware que atingem uma ampla rede de consumidores em geral, esta atividade é cirurgicamente focada nas contas da "jóia da coroa" da empresa. Ao aproveitar o envenenamento do Search Engine Optimization (SEO), o adversário está distribuindo instaladores MSI maliciosos que imitam ferramentas essenciais de gerenciamento de infraestrutura e diagnóstico. O objetivo principal é comprometer credenciais de alto privilégio e estabelecer backdoors persistentes em ambientes corporativos, o que pode levar a violações em grande escala. O cenário atual de ameaças é definido pela representação estratégica de utilitários fundamentais para operações modernas de TI, como PsExec, AzCopy, Sysmon e LAPS.
A justificação para a selecção destes alvos específicos está enraizada num modelo avançado de definição de perfis de vítimas. Como um usuário padrão raramente interage com um depurador como o WinDbg ou um kit de implantação como o Windows ADK, o adversário garante que toda infecção bem-sucedida chegue a uma máquina pertencente a um usuário com permissões elevadas de sistema ou de rede. A componente psicológica desta campanha é também particularmente agressiva. Muitos desses utilitários são ferramentas que os defensores usam para investigar atividades maliciosas. Isso cria uma "isca de ironia", onde um profissional de segurança, ao tentar diagnosticar um problema percebido usando uma ferramenta como Process Explorer ou TCPView, introduz inadvertidamente uma ameaça. Ao entregá-los por meio de pacotes MSI de aparência legítima, os invasores contornam a suspeita inicial frequentemente associada a scripts brutos ou executáveis autônomos. As consequências de uma infecção podem ser devastadoras. G dada a natureza administrativa das vítimas, isto muitas vezes transita para um cenário de “chaves do reino”.
A Atos TRC analisou vários instaladores .msi de repositórios maliciosos identificados. Como o malware evoluiu ao longo do tempo, esta análise concentra-se na sua variante mais recente. Todos os caminhos, nomes de arquivos, extensões e chaves mostrados são específicos para uma única amostra, pois são gerados aleatoriamente para cada um. Este malware é um Trojan de acesso remoto (RAT) de vários estágios, estilo sem arquivo, escrito em JavaScript, entregue como um instalador MSI malicioso que se faz passar por várias ferramentas de administração de TI e administração de sistemas corporativos. Ele usa criptografia AES-256-CBC em camadas para ocultar sua carga útil, um resolvedor dead-drop baseado em blockchain para comunicação C2 resiliente e um mecanismo construtor AsyncFunction para execução remota arbitrária de código. O Node.js é baixado em tempo de execução do nodejs.org, em vez de empacotado, mantendo o pacote pequeno (~4,7 MB) ao custo de exigir acesso à Internet durante a infecção. Em última análise, os pesquisadores da Atos identificaram que se tratava de um malware EtherRat, uma ameaça emergente recentemente que usa o Ethereum para armazenar endereços URL C2, evitando a derrubada da infraestrutura. As versões mais recentes dos instaladores consistem em quatro arquivos.
Quando o MSI é executado, esses arquivos são extraídos e um script em lote CMD é executado por meio de uma Ação Personalizada, iniciando a cadeia que leva à implantação do RAT: É importante observar que as extensões dos arquivos diferiram entre as amostras analisadas, mas “.cmd” sempre foi o arquivo inicial. A tabela contém alguns exemplos: Nomes de arquivos, chaves de descriptografia, segredos, nomes de diretórios e extensões apresentados abaixo são extraídos da versão mais recente do instalador. O ponto de entrada do malware é um script em lote do Windows altamente ofuscado (VW80IqXy.cmd), iniciado com privilégio SYSTEM pelo MSI CustomAction imediatamente após a extração do arquivo. Seu principal mecanismo de ofuscação divide todos os nomes de comandos confidenciais - incluindo curl, tar, copy, start e cmd - em várias atribuições de variáveis SET que são concatenadas silenciosamente em tempo de execução, garantindo que nenhuma palavra-chave reconhecível apareça no arquivo bruto e anulando a análise estática simples baseada em string. Para garantir a execução em uma janela oculta, independentemente de como o MSI o iniciou, o script é imediatamente reiniciado como um processo em segundo plano minimizado e encerrado, com a cópia reiniciada executando todo o trabalho real. Essa cópia cria um diretório de teste específico da compilação em %LOCALAPPDATA%\, baixa o tempo de execução do Node.js de seu endpoint de distribuição oficial para um arquivo temporário via curl, extrai-o em um subdiretório de tempo de execução específico da compilação dentro do diretório de teste e exclui o arquivo zip para minimizar artefatos forenses no disco. Com o ambiente preparado, o script transfere a execução para o Estágio 1 invocando o node.exe incluído no arquivo de carga útil do primeiro estágio e termina, não carregando nenhum mecanismo de persistência próprio e não desempenhando nenhum papel adicional na cadeia de infecção. Um script Node.js mínimo.
Não ofuscado e totalmente legível. Ele nunca é salvo no disco. Seu principal objetivo é ler o arquivo que contém a carga útil do segundo estágio (neste exemplo, “tQqoxkAJFhqWtg5.xml”), descriptografá-lo usando uma chave codificada e um vetor de inicialização (IV) e executá-lo na memória via “module._compile ()” Arquivo: tQqoxkAJFhqWtg5.xml (2.096 bytes criptografados) Descriptografado e executado na memória pelo Estágio 1. É um estágio intermediário que descriptografa o conteúdo da carga ofuscada do estágio 3 (0cZeeDPZMsxWtaK.cfg), grava esse conteúdo em um novo arquivo (4S3HKjraAP.cfg) e o executa via node.exe envolvido por “conhost.exe –headless”, que disfarça o processo no Gerenciador de Tarefas como um host de console padrão. Além disso, ele cria persistência por meio da chave Run do registro. Arquivo: 0cZeeDPZMsxWtaK.cfg (criptografado) / 4S3HKjraAP.cfg (texto simples, ~9,8 KB) O estágio 3 é a principal carga útil do malware – um arquivo JavaScript que é executado silenciosamente em segundo plano a cada inicialização do sistema. Ele é gravado no disco com um nome de arquivo gerado aleatoriamente com uma extensão não descritiva, tornando a detecção de arquivos baseada em padrões não confiável em diferentes distribuições de malware. Ele é executado dentro do conhost.exe, um processo legítimo do Windows, por isso não se destaca no Gerenciador de Tarefas.
Todas as strings dentro do arquivo – incluindo endereços de servidor e nomes de API – são criptografadas, dificultando a análise estática. Quando executado, o RAT primeiro atribui à máquina infectada uma identidade persistente. Ele lê um ID de bot exclusivo de um arquivo oculto no disco ou gera um novo se o arquivo ainda não existir e o armazena para uso em todas as comunicações futuras. Ele também calcula um caminho de diretório de trabalho derivado do nome de usuário e do nome do computador da máquina, tornando esse caminho único em cada sistema vítima. A próxima tarefa do RAT é descobrir onde está seu servidor de comando e controle. Em vez de codificar diretamente um endereço de servidor, que poderia ser bloqueado pelos defensores, o invasor armazena o endereço dentro de um contrato inteligente Ethereum no blockchain. O RAT consulta nove serviços públicos da API Ethereum em paralelo e escolhe a resposta que a maioria retorna – isso torna a pesquisa confiável mesmo se alguns serviços estiverem temporariamente inativos. Como o endereço reside no blockchain, ele não pode ser removido bloqueando um domínio ou endereço IP; o invasor pode atualizá-lo a qualquer momento enviando uma única transação.
Independentemente de todo o resto, um cronômetro em segundo plano executa novamente essa pesquisa de blockchain a cada cinco minutos, portanto, se o invasor publicar um novo endereço de servidor, o RAT muda para ele automaticamente na próxima tentativa de contato, sem precisar reiniciar. Uma vez conhecido o endereço C2, o RAT entra em um loop de pesquisa contínuo, sinalizando repetidamente para o servidor para verificar novos comandos. Cada solicitação é construída para se assemelhar a uma busca de navegador comum para um ativo da web estático - o caminho do URL contém segmentos hexadecimais aleatórios, uma extensão de arquivo comum escolhida aleatoriamente (.png, .jpg, .gif, .css, .ico ou .webp) e um nome de parâmetro de consulta selecionado aleatoriamente. Embora cada beacon pareça diferente para um observador de rede, cada um também carrega silenciosamente o ID exclusivo do bot e um identificador de campanha incorporados à construção, permitindo que o servidor do invasor reconheça e rastreie cada vítima individualmente. O RAT também envia seu próprio código-fonte para o servidor e recebe de volta uma substituição recém-ofuscada, que ele grava sobre si mesmo no disco, criptografando-se efetivamente uma vez a cada execução, seja de “.msi” ou de uma chave de registro Run persistente. Os comandos do invasor chegam como código JavaScript e são executados diretamente dentro do processo Node.js em execução, dando ao invasor acesso total ao sistema de arquivos, a capacidade de executar qualquer comando do sistema operacional e a capacidade de exfiltrar dados - tudo sem nunca descartar um executável tradicional no disco. rastreamento operacional de tudo o que o RAT faz. Para todas as amostras analisadas, os mesmos 9 endpoints foram consultados para obter o endereço C2 do contrato.
As versões anteriores deste malware tinham um número menor de estágios usados desde o momento da execução até as comunicações C2 e seguiam o mesmo padrão de extensão de arquivo: .msi -> .cmd -> .js -> arquivo ofuscado sem extensão clara para usar. quando o contrato inteligente não respondeu. Este IP C2 era o mesmo que o primeiro valor definido para o contrato inteligente desta amostra mais antiga (hxxp[://]135[.]125[.]255[.]55). A campanha implementa um modelo C2 descentralizado que não depende de domínios fixos ou servidores controlados pelo invasor. Serviço Ethereum RPC é. Neste contexto, um contrato inteligente é uma pequena parte da lógica do programa armazenada na blockchain que pode conter dados e devolvê-los mediante solicitação de forma consistente e verificável. Esse design permite alterações C2 centralizadas sem modificar ou reimplantar o malware, aumentando a resiliência contra esforços de remoção e inclusão em listas de bloqueio. Para efeitos desta explicação, utilizamos um dos contratos utilizados pelos invasores (0xc12c8d8f9706244eca0acf04e880f10ff4e52522) e a carteira que o financiou (0x37ef6e88425613564b2cf8adc496acff4b6481a9).
O contrato inteligente utilizado para a resolução C2 é implementado como um mecanismo de coordenação em cadeia e mostra sinais claros de utilização operacional durante a sua vida. Seu registro blockchain expõe um endereço de contrato definido, um carimbo de data/hora de criação fixo e uma sequência de transações enviadas ao longo do tempo. A atividade observada indica que a instância do contrato é usada ativamente como parte de uma arquitetura de resolução C2 mais ampla e persistente, mesmo que os contratos inteligentes individuais possam ser substituídos ou alternados à medida que a campanha evolui. O contrato pode ser diretamente associado à carteira Ethereum que o implantou. A análise da atividade da carteira mostra interações repetidas com o mesmo contrato durante o seu período operacional, demonstrando que o controle sobre a resolução C2 é exercido através de transações blockchain. Isto confirma que as alterações na distribuição C2 são realizadas independentemente do malware já implantado nos sistemas comprometidos. A análise do histórico de transações do contrato revela múltiplas chamadas de mudança de estado usadas para atualizar valores armazenados na cadeia. Cada uma dessas atualizações corresponde a uma alteração no endereço C2 recuperado pelo malware durante seu ciclo regular de resolução.
Como resultado, os sistemas infectados redirecionam automaticamente para a nova infraestrutura de backend sem exigir qualquer entrega adicional de carga útil ou alterações de configuração local. No nível da transação, uma única operação de mudança de estado é suficiente para redirecionar todas as infecções ativas. A inspeção detalhada mostra que uma operação de gravação de blockchain, enviada da carteira do operador, modifica o estado do contrato e é imediatamente refletida nas tentativas subsequentes de resolução C2 pelo malware. Isso substitui as etapas tradicionais de gerenciamento de infraestrutura – como registro de domínio, atualizações de DNS ou reimplantação de servidor – por uma única transação em cadeia. Ao ancorar a resolução C2 ao estado da blockchain e resolvê-la através de serviços públicos Ethereum amplamente disponíveis, a campanha move uma dependência crítica da sua infraestrutura de controle para uma rede descentralizada projetada para alta disponibilidade. Isto limita substancialmente a eficácia das técnicas convencionais de interrupção baseadas na apreensão de domínios, bloqueio de IP ou remoção de servidores, e contribui para a resiliência e longevidade globais da operação. A lista completa de domínios maliciosos encontrados, bem como carteiras e contratos para distribuí-los, está disponível para download e revisão no repositório TRC GitHub. No momento em que este artigo foi escrito, a campanha de Falsificação de Utilitário Administrativo continuava sendo uma ameaça altamente ativa e tecnicamente resiliente aos ambientes corporativos.
Nossa pesquisa confirma que este não é apenas um cluster de malware oportunista, mas uma operação mais sofisticada projetada para perfis específicos de vítimas. Ao personificar os utilitários especializados necessários para o gerenciamento da infraestrutura, o adversário “automatizou” a descoberta de pessoal de TI com alto privilégio, aumentando a probabilidade de que infecções bem-sucedidas forneçam caminhos imediatos para movimentos laterais no ambiente corporativo. A longevidade operacional da campanha está enraizada em dois fatores estratégicos: a arquitetura de distribuição de dois estágios do GitHub e a integração da resolução C2 descentralizada baseada em blockchain. O uso de repositórios de “fachada” otimizados para SEO permite que os atores da ameaça mantenham a visibilidade da primeira página nos mecanismos de pesquisa, ao mesmo tempo que isolam suas cargas maliciosas em contas secundárias que podem ser rapidamente rotacionadas. d. Além disso, a dependência do módulo EtherHiding nos contratos inteligentes Ethereum cria uma infraestrutura que é particularmente difícil de desmontar. A análise de malware da carga útil do MSI distribuída nesta campanha o identifica como anEtherRAT, um backdoor modular Node.js que se distingue por seu módulo C2 “EtherHiding” de alta resiliência. A equipe de pesquisa de ameaças da Sysdig já vinculou esse malware ao ator patrocinado pelo estado norte-coreano - Lazarus Group.
Eles notaram sobreposições significativas nas ferramentas utilizadas durante as operações realizadas com o uso do EtherRAT e da campanha “Entrevista Contagiosa”. Além disso, em março de 2026, a Unidade de Resposta a Ameaças (TRU) da eSentire investigou um servidor web de diretório aberto atribuído ao grupo MuddyWater (APT34), patrocinado pelo estado iraniano. Durante o envolvimento, a TRU encontrou naquele servidor um arquivo malicioso com funcionalidade para estabelecer persistência e implantar o malware botnet Tsundere, que também integra a lógica de resolução C2 “EtherHiding”. Sua análise documentou extensas semelhanças de código entre o EtherRAT e o malware Tsundere. O monitoramento ativo do Atos TRC confirma que esta operação não é mais uma campanha de roubo em alta velocidade. Embora o malware comum muitas vezes priorize a exfiltração imediata de dados, esses atores demonstram foco na paciência operacional e na discrição. Após a violação inicial, documentamos uma transição para atividades práticas metódicas caracterizadas por uma abordagem deliberada à descoberta ambiental. O adversário evita varreduras agressivas e de alto volume que podem acionar alertas comportamentais, optando, em vez disso, pela descoberta silenciosa para mapear a arquitetura de alto privilégio da rede.
Este ritmo medido indica que o objectivo principal é a persistência sustentada e o acesso estratégico, em vez de uma simples extracção oportunista. Ao traçar cuidadosamente o perfil do ambiente antes de escalar sua atividade, os atores da ameaça aumentam significativamente suas chances de permanecerem indetectados nas redes corporativas. Em alinhamento com o nosso compromisso com a defesa proativa, o Centro de Pesquisa de Ameaças da Atos iniciou ações formais de remoção contra o esquema malicioso identificado, a fim de neutralizar os canais de distribuição e perturbar a resiliência operacional da campanha. Para mitigar os riscos associados à campanha de Falsificação de Utilidade Administrativa, as organizações devem implementar as seguintes medidas defensivas: Uma lista completa de Indicadores de Compromisso (IoCs), TTPs mapeados e gráficos detalhados de relacionamento com malware para esta campanha estão disponíveis para download e revisão no repositório TRC GitHub. Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor – tudo gratuitamente.