A operação combinou iscas com tema de direitos humanos, sites falsos de apoio cultural e implantes Windows capazes de coletar informações do sistema, manter persistência e buscar estágios adicionais não recuperados.
| Componente | Documentos Office maliciosos, sites falsos de fundações e implantes Windows identificados como WebAssistant e TcahfUpdate. |
| Vetor | Documento com tema de direitos humanos que baixa modelo externo após habilitação de edição, além de site falso de concessão de fundos que induz o usuário a instalar um suposto verificador de segurança. |
| Impacto | Coleta de número de série do BIOS, informações de CPU, endereço MAC, processos em execução, programas instalados e horário local; persistência por serviço Windows e capacidade de buscar carga adicional não observada. |
| Prioridade | Restringir macros e modelos externos do Office, bloquear infraestrutura defangada associada, revisar manipuladores de protocolo personalizados e procurar serviços ou executáveis relacionados aos implantes. |
| Artefatos | Foram observados UgyhurApplicationList.docx, OfficeUpdate.exe, WebAssistant.exe, WindowsService.exe, RegisterUI.exe e TcahfUpdateSvr.exe. |
| IoCs | Exemplos defangados incluem officemodel[.]org, unohcr[.]org, tcahf[.]org, malaysiatcahf[.]org, icislieri[.]com e 185.94.189[.]207. |
Uma campanha direcionada mirou um conjunto pequeno de indivíduos uigures em Xinjiang e no Paquistão por meio de dois caminhos de infecção complementares: documentos com aparência institucional e sites falsos que simulavam organizações de apoio cultural ou humanitário. A operação explorou temas sensíveis de direitos humanos e concessão de fundos para reduzir a desconfiança da vítima, mas a finalidade técnica observada era instalar componentes Windows capazes de coletar informações do host, persistir no sistema e consultar infraestrutura remota para buscar novos estágios.
O primeiro vetor usou um documento chamado UgyhurApplicationList.docx, que incorporava uma isca visual associada a discussões de direitos humanos. Quando a vítima habilitava edição, o arquivo buscava um modelo externo em officemodel[.]org. Esse modelo continha macro VBA que verificava a arquitetura do sistema operacional e decodificava uma carga de 32 ou 64 bits embutida no próprio documento. O binário resultante era salvo como OfficeUpdate.exe no diretório temporário e atuava como carregador de shellcode com técnicas básicas de evasão e anti-depuração.
O segundo vetor foi sustentado por um site falso apresentado como TCAHF, uma suposta fundação privada ligada a cultura turca e direitos humanos. A página imitava uma entidade de apoio e copiava conteúdo de uma organização legítima, mas sua função maliciosa aparecia quando o visitante tentava iniciar uma solicitação de financiamento. Nesse fluxo, o site alegava precisar verificar a segurança do ambiente antes de processar informações sensíveis e oferecia um programa para Windows, disfarçado de scanner, que na prática implantava WebAssistant ou sua versão posterior, TcahfUpdate.
No fluxo baseado em documento, a macro externa selecionava a carga de acordo com a arquitetura do Windows e criava OfficeUpdate.exe. As amostras analisadas continham um carregador de shellcode que iniciava com atrasos e medições de tempo para dificultar análise dinâmica simples. Em seguida, o shellcode tentava recuperar uma carga remota. Uma variante procurava conexão com 185.94.189[.]207; outra tentava usar officemodel[.]org, mas apresentava falha durante a execução. Como os estágios posteriores não foram recuperados, as capacidades completas desse ramo permanecem limitadas ao que foi observado no carregador e na tentativa de comunicação remota.
A infraestrutura mostrou sobreposição entre officemodel[.]org e unohcr[.]org, domínio que imitava uma entidade de direitos humanos. A resolução compartilhada ocorreu por um período prolongado em 2020 e permitiu pivôs para outro conjunto de domínios usados na campanha. Um desses pivôs levou a tcahf[.]org, onde o falso processo de inscrição em subsídios servia executáveis para Windows. O link de macOS existia na interface, mas retornava arquivo vazio no momento da análise, indicando que o esforço operacional efetivo estava concentrado em usuários Windows.
O implante WebAssistant era distribuído como win.exe, um pacote InstallShield que executava um instalador MSI. A instalação criava uma aplicação com interface gráfica de suposto scanner e registrava um manipulador de protocolo para o esquema sechk. Quando uma página invocava uma URL iniciada por esse esquema, WebAssistant.exe era executado. Essa escolha permitia ao site acionar o binário local por meio da navegação do usuário, mantendo a aparência de um fluxo legítimo de verificação exigido pela falsa fundação.
Ao acionar o botão de varredura, a aplicação não realizava uma checagem real de segurança. Ela exibia mensagens estáticas de normalidade enquanto consultava o servidor de comando e controle para verificar atualização, analisava uma resposta JSON e procurava campos capazes de apontar para novos componentes, como um executável adicional e uma biblioteca auxiliar. A biblioteca esperada, WinDBProject.dll, deveria fornecer funções usadas para checar processos associados a máquinas virtuais e conflitos com softwares instalados. A ausência desse arquivo na coleta impede confirmar a lista exata de produtos ou ambientes usados como critério de evasão.
A variante TcahfUpdate substituiu WebAssistant posteriormente e manteve a lógica central com alterações. RegisterUI.exe apresentava uma interface de registro para o site falso, enquanto coletava informações do sistema em segundo plano. Além dos dados já observados, essa versão adicionava o horário local e criptografava o material com AES antes de anexá-lo a uma requisição para hxxps://www.tcahf[.]org/verify_.php?uuid=. O serviço TcahfUpdateSvr.exe mantinha persistência, registrava o esquema tcahf e podia solicitar uma atualização por hxxps://www.tcahf[.]org/cgi-bin/update.py?uuid=[DADO] usando um agente de usuário associado a atualização de certificado para Windows.
A superfície diretamente exposta é composta por usuários Windows que receberam o documento com isca de direitos humanos ou acessaram o site falso da TCAHF para iniciar uma solicitação de apoio. O risco depende de interação do usuário: no primeiro caso, habilitar edição do documento e permitir que o Office carregue um modelo externo; no segundo, aceitar a instalação de um suposto verificador de segurança oferecido pelo site. Não há evidência no contexto de exploração sem clique, comprometimento de servidores da vítima ou uso de vulnerabilidade específica com CVE.
Os alvos observados eram poucos e localizados em regiões associadas à minoria uigur na China e no Paquistão. A campanha também registrou domínios em 2021 que sugerem expansão ou preparação de infraestrutura relacionada à Malásia e à Turquia, incluindo uma imitação do Ministério do Interior turco, mas sem artefatos maliciosos associados a esses domínios no material disponível. A atribuição foi feita com baixa a média confiança a um ator de língua chinesa, com base em características do código VBA e no contexto operacional, sem vínculo confirmado com um grupo conhecido.
- Estáções Windows com execução de macros e permissão para modelos externos do Office representam o principal ponto de entrada do vetor documental.
- Usuários que instalaram supostos scanners de segurança a partir de
tcahf[.]orgpodem ter recebido WebAssistant ou TcahfUpdate. - Hosts com manipuladores de protocolo
sechkoutcahfregistrados devem ser tratados como suspeitos no escopo dessa campanha. - Serviços Windows relacionados a
WindowsService.exeouTcahfUpdateSvr.exeindicam tentativa de manter execução periódica dos componentes maliciosos.
A investigação defensiva deve combinar telemetria de endpoint, Office, proxy, DNS e inventário de software. No vetor de documento, procure eventos em que processos do Office carreguem modelos externos a partir de domínios não aprovados, criem executáveis no diretório temporário e iniciem binários chamados OfficeUpdate.exe. A presença de base64 dentro do documento, seguida por gravação de executável e conexão com domínio externo, é um encadeamento de alto valor para detecção mesmo quando os hashes específicos mudam.
No vetor do site falso, a telemetria deve focar instalação de pacotes que criem diretórios de aplicação sob Program Files, registro de esquemas personalizados e criação de serviços persistentes. A execução de WebAssistant.exe após navegação para uma URL com sechk ou de RegisterUI.exe por meio do esquema tcahf é um sinal particularmente específico. Em logs de rede, as requisições para caminhos como /verify_.php e /cgi-bin/update.py, acompanhadas de parâmetros de identificação do host ou respostas JSON de atualização, ajudam a separar o tráfego da campanha de navegação comum.
O comportamento de coleta também é observável localmente. Os implantes enumeram processos em execução e programas instalados, consultam dados de BIOS, CPU e MAC, e tentam avaliar se o ambiente parece virtualizado ou contém software considerado conflitante. A defesa deve correlacionar esse padrão com conexões para os domínios defangados e com a criação de arquivos temporários adicionais, sem depender apenas de nomes fixos, porque a infraestrutura indicou continuidade e possível geração de novas variantes.
- Processos do Office criando
OfficeUpdate.exeno diretório temporário após acesso aofficemodel[.]org. - Registro de manipuladores de protocolo
sechkoutcahfem endpoints Windows sem justificativa administrativa conhecida. - Serviços Windows recém-criados que executem
WindowsService.exeouTcahfUpdateSvr.exeem caminhos ligados aos implantes. - Requisições HTTP ou HTTPS para
tcahf[.]org/verify_.phpoutcahf[.]org/cgi-bin/update.pycom dados codificados ou criptografados anexados. - Enumeração de processos, programas instalados e identificadores de hardware seguida de tráfego para domínios da campanha.
A resposta deve começar pela contenção de endpoints com qualquer artefato identificado, porque os implantes observados foram desenhados para persistir e consultar o servidor remoto por estágios adicionais. Mesmo que as cargas posteriores não tenham sido recuperadas, a capacidade de buscar Setup.exe e bibliotecas auxiliares indica que o ambiente comprometido poderia receber novas funcionalidades. A contenção deve incluir isolamento de rede, coleta forense de binários, exportação de chaves de registro relacionadas a protocolos personalizados e revisão de serviços criados no período de exposição.
Para reduzir a chance de entrada inicial, organizações devem bloquear macros de documentos provenientes da internet, impedir carregamento de modelos externos não autorizados no Office e reforçar filtragem de DNS e proxy para domínios recém-registrados ou que imitam entidades humanitárias. Em ambientes com usuários de alto risco, especialmente jornalistas, ativistas, ONGs e comunidades visadas por campanhas políticas, vale endurecer políticas de execução de instaladores, exigir reputação de assinatura digital e monitorar fluxos em que sites pedem instalação de supostos verificadores antes de permitir cadastro ou solicitação de apoio.
A erradicação precisa validar que não restaram serviços, tarefas, manipuladores de protocolo ou arquivos auxiliares associados aos implantes. Como os nomes de domínio malaysiatcahf[.]org e icislieri[.]com indicavam atividade continuada em 2021, a mitigação não deve se limitar aos indicadores históricos. O controle mais robusto é comportamental: impedir execução de binários baixados de sites não confiáveis, monitorar aplicações que coletam inventário do host sem finalidade legítima e alertar quando uma aplicação de interface aparentemente benigna inicia comunicação de atualização com infraestrutura desconhecida.
- Bloquear ou alertar para
officemodel[.]org,unohcr[.]org,tcahf[.]org,malaysiatcahf[.]org,icislieri[.]come o IP185.94.189[.]207, mantendo os indicadores defangados em documentação interna. - Revisar endpoints para remoção de manipuladores
sechketcahfquando não houver aplicação corporativa legítima associada. - Coletar e analisar
OfficeUpdate.exe,WebAssistant.exe,WindowsService.exe,RegisterUI.exeeTcahfUpdateSvr.exequando encontrados, preservando cadeia de custódia. - Aplicar políticas de bloqueio de macros da internet e de modelos Office remotos não aprovados.
- Investigar requisições para caminhos de verificação e atualização usados pela campanha, com atenção a dados do host enviados em JSON, base64 ou conteúdo criptografado.
0 Comentários