Campanha atribuída a APT chinesa usou iscas sobre sanções, carregadores em múltiplas camadas, sideloading de DLL e backdoor SPINNER para enumeração e execução de estágios adicionais.
| Componente | Institutos russos de pesquisa em defesa ligados à Rostec, documentos Microsoft Word, templates externos, carregadores cmpbk32.dll e UnityPlayer.dll, arquivos INIT e PIN, e backdoor SPINNER. |
| Vetor | Spear phishing com temas de sanções contra a Rússia e documentos falsamente associados ao Ministério da Saúde russo, incluindo busca de template externo em domínio controlado pelo operador. |
| Impacto | Execução em memória de carregadores, persistência por tarefa agendada e chave Run, enumeração do host, comunicação HTTP/S cifrada com C2 e capacidade de receber payloads adicionais. |
| Prioridade | Caçar artefatos de OfficeInit, tarefas agendadas anômalas, sideloading de DLL por binários legítimos e conexões HTTP/S para infraestrutura defangada associada à campanha. |
| Artefatos | %TEMP%\OfficeInit, cmpbk32.dll, INIT, cmdl32.exe, mutex MSR__112, chave SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OfficeInit, tarefa InterSys, rekeywiz.exe, UnityPlayer.dll e C:\Users\Public\PublicPIN. |
| IoCs | Domínios citados de forma defangada: minzdravros[.]com e microtreely[.]com; uso de HTTP/S para C2 com configuração descriptografada em tempo de execução. |
A campanha Twisted Panda descreve uma operação de espionagem contra entidades russas relacionadas à defesa, com foco em institutos de pesquisa vinculados à Rostec. A atividade observada em março de 2022 usou e-mails direcionados com temas ligados à guerra entre Rússia e Ucrânia, sanções impostas por países ocidentais e narrativas de saúde pública. O objetivo técnico não era apenas induzir a abertura de um documento, mas estabelecer uma cadeia de execução modular capaz de preparar persistência, remover vestígios iniciais, carregar componentes cifrados em memória e entregar um backdoor chamado SPINNER. A atribuição foi feita com alta confiança a um operador APT chinês experiente, dentro de uma atividade mais ampla que já vinha mirando entidades relacionadas à Rússia havia meses.
A operação combinou engenharia social regionalizada, abuso de documentos Microsoft Word, carregamento de template externo, macros, sideloading de DLL e ofuscação em múltiplas camadas. O primeiro conjunto de e-mails foi enviado em 23 de março a institutos de pesquisa de defesa na Rússia com assunto sobre uma lista de pessoas sob sanções dos Estados Unidos pela invasão da Ucrânia. A mensagem também apontava para um site sob controle do atacante que imitava o Ministério da Saúde russo, usando o domínio defangado minzdravros[.]com. No mesmo dia, uma mensagem semelhante foi enviada a uma entidade não identificada em Minsk, Belarus, com assunto sobre suposta disseminação de patógenos. Os documentos anexos imitavam comunicações oficiais do Ministério da Saúde da Rússia, incluindo emblema e título, o que reforça a preparação específica para alvos de língua russa.
A cadeia mais recente começa com documentos que carregam um template externo a partir de URLs hospedadas em infraestrutura controlada pelo operador, incluindo o domínio defangado microtreely[.]com. O template contém macro que importa funções da API do Windows a partir de kernel32, como rotinas de carregamento de biblioteca, criação, leitura e escrita de arquivos. Em vez de expor toda a funcionalidade em um único executável, a cadeia inicializa componentes no diretório temporário OfficeInit, copia arquivos maliciosos e também usa um executável legítimo de 32 bits do Windows, cmdl32.exe, retirado de diretórios do sistema conforme a arquitetura do sistema operacional. Essa escolha permite que o estágio persistente seja iniciado por um processo legítimo e assinado, enquanto a lógica real fica em uma DLL carregada por sideloading.
O componente cmpbk32.dll funciona como carregador de 32 bits com resolução dinâmica de APIs por hashing de nomes, reduzindo dependência de imports estáticos que seriam fáceis de marcar por detecção baseada em assinatura. O arquivo INIT contém dois shellcodes separados por estágio. Um deles cuida da persistência e da limpeza dos arquivos criados pelo documento malicioso; o outro inicia um carregador de múltiplas camadas. Quando o documento é fechado, o evento de descarregamento da DLL dispara a rotina que remove parte dos rastros iniciais e cria uma tarefa agendada. Depois, a tarefa executa cmdl32.exe, que por sua vez carrega cmpbk32.dll; esse carregamento aciona a rotina principal de descriptografia, que percorre camadas cifradas dentro de INIT até revelar o payload final em memória.
O carregador usa uma primeira camada protegida por XOR e uma segunda etapa com RC4 e descompressão via RtlDecompressBuffer. O resultado é código independente de posição que injeta um PE embutido e executa sua entrada. O backdoor SPINNER usa técnicas de ofuscação de fluxo, incluindo achatamento de controle e predicados opacos, mecanismos que aumentam o custo de análise estática. Ao iniciar, cria o mutex MSR__112 para evitar múltiplas instâncias. Em seguida, reforça persistência criando a chave OfficeInit em SOFTWARE\Microsoft\Windows\CurrentVersion\Run, apontando para o caminho de cmdl32.exe. A configuração contém um URL completo de C2 descriptografado com XOR em tempo de execução e dividido em esquema, host, URI, porta e uso de HTTPS.
No primeiro ciclo, o backdoor gera um identificador aleatório de 16 bytes para o bot e grava esse valor em init.ini dentro de OfficeInit. Ele coleta informações do sistema infectado e monta um pacote cifrado com RC4 usando uma chave aleatória de 8 bytes por mensagem. A comunicação ocorre por HTTP ou HTTPS, dependendo da configuração descriptografada. A resposta do C2 também segue uma estrutura cifrada semelhante. A variante descrita possui funções básicas de enumeração e foco em execução de payloads adicionais recebidos do servidor de comando e controle; a avaliação técnica indica que vítimas selecionadas poderiam receber um backdoor completo com recursos mais amplos, mas os payloads adicionais não foram recuperados no material analisado.
A superfície principal envolve usuários e estáções Windows de organizações russas ou relacionadas à Rússia que recebem documentos de tema governamental, diplomático, sanitário ou militar. A cadeia depende de interação com anexos ou links de spear phishing, busca de template externo e execução de lógica de macro no contexto do usuário. Ambientes com permissão para carregamento de templates remotos por documentos Office, baixa restrição de macros, inspeção limitada de tráfego HTTP/S e ausência de controle sobre criação de tarefas agendadas ficam mais expostos a esse fluxo. O abuso de binários legítimos reduz a visibilidade para defesas que confiam apenas no nome do processo ou na assinatura do executável.
Uma onda anterior, com indícios desde junho de 2021, usou executáveis com ícone do Microsoft Word no lugar de documentos Word como dropper. Essa variante extraía rekeywiz.exe, UnityPlayer.dll e PIN para C:\Users\Public\PublicPIN. O arquivo rekeywiz.exe se passava por componente legítimo do Windows relacionado ao EFS, mas na prática era um aplicativo Unity assinado associado ao Steam Wallpaper Engine, explorado como hospedeiro para sideloading da DLL maliciosa. O dropper também abria um documento isca em russo com temas de governo, como decretos presidenciais, o que mantinha a ilusão de conteúdo legítimo enquanto a cadeia técnica avançava em segundo plano.
- Institutos de pesquisa de defesa na Rússia, especialmente entidades ligadas à Rostec, foram alvos diretos dos e-mails de março de 2022.
- Uma entidade não identificada em Minsk, Belarus, recebeu mensagem semelhante com tema sanitário e geopolítico.
- Estáções Windows com Microsoft Word e capacidade de carregar templates externos são relevantes para a cadeia mais recente.
- Ambientes onde tarefas agendadas e chaves Run são pouco monitoradas ficam mais suscetíveis à persistência observada.
- A variante anterior expôs sistemas que executassem droppers disfarçados de documentos, com sideloading por
rekeywiz.exeeUnityPlayer.dll.
A caça deve começar pela correlação entre abertura de documentos Office, conexões para templates externos e criação rápida de arquivos em diretórios temporários. A presença de %TEMP%\OfficeInit, INIT, cmpbk32.dll, cmdl32.exe fora de um fluxo administrativo esperado ou init.ini no mesmo diretório é sinal forte para triagem. O comportamento também pode aparecer como Microsoft Word gravando arquivos executáveis ou DLLs, importando APIs de baixo nível por macro, criando tarefas agendadas e acionando um binário legítimo do Windows para carregar uma DLL não pertencente ao sistema. Como o payload final é executado em memória, a detecção precisa combinar eventos de arquivo, processo, tarefa, registro, rede e memória, em vez de depender apenas de artefatos persistentes no disco.
A telemetria de endpoint deve buscar execução de cmdl32.exe a partir de caminhos temporários ou associada a DLL não padrão, criação da chave Run OfficeInit, mutex MSR__112 e eventos de carregamento de DLL com nome cmpbk32.dll. Para a onda anterior, os sinais incluem criação de C:\Users\Public\PublicPIN, tarefa InterSys, execução de rekeywiz.exe fora do uso legítimo esperado e carregamento de UnityPlayer.dll a partir do diretório público. Em rede, a atividade relevante inclui conexões HTTP/S logo após a abertura do documento ou execução do dropper, principalmente quando o processo pai é Office, cmdl32.exe, rekeywiz.exe ou um processo injetado como msiexec.exe. Domínios citados devem ser tratados de forma defangada e usados internamente em listas de bloqueio e retrospectiva, sem navegação direta.
- Criação ou modificação de
%TEMP%\OfficeInit,INIT,cmpbk32.dll,init.inie cópias incomuns decmdl32.exe. - Tarefa agendada criada após fechamento de documento Office ou associada à execução de binário legítimo usado como hospedeiro.
- Chave
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OfficeInitapontando para caminho temporário ou não administrativo. - Mutex
MSR__112, quando disponível por EDR ou coleta de artefatos em memória. - Conexões HTTP/S para domínios defangados
minzdravros[.]comemicrotreely[.]com, ou para hosts associados a templates externos suspeitos. - Execução de
rekeywiz.exee carregamento deUnityPlayer.dllemC:\Users\Public\PublicPINna variante anterior. - Injeção ou criação de
msiexec.exeem fluxo que não corresponde a instalação legítima de software.
A resposta deve priorizar contenção de endpoints que tenham aberto os documentos ou executado droppers relacionados, coleta de artefatos voláteis e preservação de logs antes de remoção. Como a cadeia usa execução em memória e limpeza parcial de arquivos iniciais, a investigação deve preservar histórico de EDR, eventos de processo, eventos de criação de tarefa, alterações de registro, cache de documentos Office, histórico de URLs acessadas e metadados de arquivos temporários. Bloqueios preventivos devem incluir restrição de macros e templates externos, inspeção de documentos recebidos por e-mail, reputação de domínios recém-observados e regras comportamentais para DLL sideloading por binários legítimos.
A mitigação operacional deve remover persistência confirmada, bloquear infraestrutura defangada, invalidar qualquer acesso que possa ter sido exposto pelo host comprometido e revisar segmentação de estáções usadas por equipes sensíveis. A presença do backdoor indica possibilidade de execução de payloads adicionais, portanto a ausência de um segundo estágio em disco não deve encerrar a análise. É necessário validar se houve enumeração, comunicação C2 e execução de comandos recebidos. Em organizações com perfil semelhante aos alvos descritos, controles de endurecimento do Office, allowlisting de aplicações, bloqueio de escrita e execução em diretórios temporários, e monitoramento de tarefas agendadas reduzem diretamente a janela de exploração dessa cadeia.
- Bloquear carregamento automático de templates externos em documentos Office e aplicar política restritiva para macros vindas de e-mail ou internet.
- Isolar hosts com
OfficeInit,cmpbk32.dll,INIT,init.ini, tarefa suspeita ou chave RunOfficeInitaté concluir análise forense. - Remover tarefas agendadas e chaves de persistência somente após coleta de evidências de processo, registro, rede e memória.
- Criar detecções para sideloading de DLL envolvendo
cmdl32.exe,rekeywiz.exe,UnityPlayer.dlle execução anômala demsiexec.exe. - Bloquear e investigar conexões com domínios defangados associados, além de procurar acessos retrospectivos em proxy, DNS, firewall e EDR.
- Revisar caixas de e-mail dos alvos para mensagens com temas de sanções, documentos do Ministério da Saúde russo ou narrativas sanitárias semelhantes.
- Tratar hosts confirmados como potencialmente aptos a receber payloads adicionais e validar credenciais, tokens de sessão e acessos usados a partir dessas máquinas.
0 Comentários