Cadeia combina binário trojanizado de SMS Bomber, injeção em processos do Windows, repositórios GitHub ou Gitee, payload esteganográfico e backdoor TClient.
| Componente | Loader Nimbda escrito em Nim, ferramenta greyware SMS Bomber, variante Yahoyah com coleta de SSIDs, DLL de persistência e payload final TClient. |
| Vetor | Execução manual de um binário trojanizado que aparenta ser um SMS Bomber; após aberto pela vítima, o loader solta o executável embutido e injeta código em notepad.exe. |
| Impacto | Coleta de nome do computador, endereço MAC, versão do sistema operacional, produtos antivírus instalados, presença de arquivos associados a WeChat e Tencent, SSIDs próximos e ativação de backdoor. |
| Prioridade | Investigar execução de SMS Bomber não autorizado, criação suspeita de notepad.exe e dllhost.exe, persistência por serviço ou chaves Run/Winlogon e download de imagens usadas como contêiner de payload. |
| Artefatos | Busca por EULA.md em repositórios GitHub ou Gitee controlados pelo operador, endereço IP ofuscado em commits, string interna SN202012_x86 e função exportada StartWork. |
| Atribuição | A atividade foi avaliada como provavelmente conectada ao cluster Tropic Trooper, com relação indireta a TA428, por infraestrutura compartilhada, práticas de codificação e similaridade de ferramentas. |
A campanha descreve uma cadeia de malware incomum por combinar um loader escrito em Nim, chamado Nimbda, com uma ferramenta greyware de SMS Bomber em chinês e componentes já associados a operações anteriores do Tropic Trooper. O binário inicial funciona como um pacote trojanizado: a vítima vê e executa algo que aparenta ser apenas uma ferramenta de envio abusivo de SMS, mas o mesmo arquivo também prepara uma cadeia paralela de injeção, download, persistência e carregamento de backdoor. Esse detalhe reduz a superfície de vítimas prováveis para um grupo específico de usuários dispostos a executar esse tipo de utilitário, o que torna o vetor menos massivo e mais orientado a um perfil comportamental.
O fluxo observado usa três camadas principais. Primeiro, o Nimbda grava o SMS Bomber no diretório temporário da vítima e executa esse programa para manter a aparência esperada do pacote. Em paralelo, ele inicia notepad.exe e injeta um trecho de código que passa a buscar um arquivo EULA.md em repositórios GitHub ou Gitee controlados pelo operador. Esse arquivo contém um endereço IP ofuscado, usado para localizar a próxima etapa. Depois, a cadeia solicita um recurso index.htm no servidor de comando e controle, recebe um executável ofuscado e o executa por process hollowing em dllhost.exe.
A etapa baixada é uma versão aprimorada do backdoor/downloader Yahoyah, historicamente ligado ao conjunto de ferramentas do Tropic Trooper. A variante adiciona uma função de varredura de redes sem fio próximas, coletando SSIDs visíveis pelo sistema comprometido. Esse dado se soma a informações de host já coletadas por versões anteriores, incluindo nome do computador, MAC address, versão do sistema operacional, produtos antivírus instalados e presença de arquivos relacionados a WeChat e Tencent. A sequência termina com uma DLL de persistência que baixa uma imagem do servidor de comando e controle, extrai dela um payload PE oculto por esteganografia e chama a função exportada StartWork para iniciar o TClient.
O ponto inicial da cadeia depende de engenharia social e execução local do binário. Não há indicação de exploração de vulnerabilidade, zero-day ou execução remota automática no material analisado; a pré-condição relevante é que o usuário execute o pacote que se apresenta como SMS Bomber. O uso de um ícone semelhante ao da ferramenta embutida reforça a hipótese de disfarce operacional. Para a defesa, isso significa que a telemetria mais importante começa no endpoint: criação de arquivo temporário, execução de ferramenta não corporativa, lançamento anômalo de notepad.exe por um processo pai incomum e injeção logo após a inicialização do processo.
A primeira carga injetada atua como cola de inicialização. Ela consulta um repositório GitHub ou Gitee e obtém um arquivo EULA.md que não é usado como documento de licença, mas como contêiner para um endereço IP ofuscado. Em uma amostra, o resultado de deofuscação apontava para 159[.]75[.]144[.]13, citado aqui de forma defangada. O uso de plataformas de hospedagem de código como etapa intermediária permite ao operador alterar a infraestrutura apontada sem recompilar o loader. Também cria uma oportunidade defensiva: acessos incomuns a arquivos de markdown em repositórios externos imediatamente após a execução de binários desconhecidos devem ser correlacionados com árvore de processos e eventos de rede.
Após resolver a infraestrutura, o shellcode solicita um recurso index.htm que, na prática, contém a próxima etapa ofuscada. Essa carga é executada por hollowing em dllhost.exe, o que desloca a atividade maliciosa para um processo legítimo do Windows e dificulta inspeções baseadas apenas em nome de processo. A variante Yahoyah resultante envia dados de reconhecimento do host ao servidor de comando e controle e prepara persistência por uma DLL registrada como serviço ou referenciada em chaves Run ou Winlogon do Registro. Em algumas variantes relacionadas, também foram observados controles anti-análise, uso de mutex implementado por arquivo INI ou API do Windows e carregamento de PE embutido via API Transactional NTFS, técnica associada a execução dentro de processo aparentemente legítimo.
Um elemento técnico importante é o tratamento criptográfico das strings. A rotina parecia derivada de AES, mas inverte a ordem de operações de rodada e executa a sequência modificada duas vezes, produzindo um algoritmo incompatível com AES convencional. Essa alteração, combinada ao modo ECB, não muda a conclusão operacional da defesa: strings e configuração não devem ser presumidas recuperáveis por ferramentas automáticas de reconhecimento de constantes criptográficas. O efeito prático é aumentar o custo de análise estática e obrigar validação manual ou dinâmica da rotina usada pelo binário.
A superfície afetada é composta por estáções Windows onde usuários conseguem baixar e executar ferramentas não autorizadas, especialmente utilitários greyware distribuídos em ambientes de língua chinesa. O alvo operacional inferido não é um servidor exposto, uma aplicação web ou um serviço de nuvem; é o endpoint do usuário que inicia o binário. Como a cadeia depende de processos comuns do Windows, como notepad.exe e dllhost.exe, controles que permitem execução ampla de binários desconhecidos e não validam comportamento pós-execução aumentam a exposição.
Ambientes corporativos com bloqueio fraco de execução em diretórios temporários, ausência de controle de aplicações e baixa visibilidade de Registro ficam mais vulneráveis ao estágio de persistência. O risco técnico confirmado é a implantação de backdoor e coleta de reconhecimento local, não um vazamento de dados específico. A coleta de SSIDs próximos, entretanto, adiciona valor de inteligência ao operador, pois pode ajudar a caracterizar localização, ambiente físico ou redes ao redor do dispositivo comprometido. A presença de identificadores como SN202012_x86 indica versionamento interno do operador e pode ajudar a agrupar amostras, desde que usada com outros sinais.
- Estáções Windows com execução permitida a partir de diretórios temporários ou perfis de usuário.
- Usuários que baixam e executam ferramentas greyware de SMS Bomber fora de canais corporativos.
- Hosts que apresentam sequência anômala envolvendo SMS Bomber,
notepad.exe, consulta aEULA.md,dllhost.exee persistência por serviço ou Run/Winlogon. - Ambientes onde conexões a GitHub ou Gitee não são inspecionadas em conjunto com linhagem de processo.
- Máquinas com telemetria insuficiente para detectar process hollowing, injeção em processo recém-criado e carregamento de DLL persistente.
A caça deve começar pela cadeia de execução. O evento mais distintivo é um binário que aparenta ser SMS Bomber criando arquivo em diretório temporário, executando esse componente e, quase ao mesmo tempo, criando ou manipulando notepad.exe. A partir daí, a telemetria deve buscar acesso de rede a repositórios GitHub ou Gitee e requisições a arquivos markdown com nomes pouco compatíveis com o comportamento normal do processo. O objetivo não é bloquear genericamente essas plataformas, mas correlacionar uso incomum por processos recém-criados, sem assinatura confiável ou originados de diretórios temporários.
Na etapa seguinte, a atenção passa para dllhost.exe. Criação de dllhost.exe com memória executável privada, imagem desalinhada com o conteúdo em disco, ausência de linha de comando esperada ou conexão de rede logo após a criação pode indicar hollowing. Em paralelo, varredura de Registro deve procurar chaves Run e Winlogon modificadas por processos fora do padrão administrativo, além de criação de serviços que referenciem DLLs em caminhos de usuário ou diretórios temporários. A investigação de rede deve procurar download de imagens de infraestrutura suspeita seguido por execução de código, pois a imagem pode funcionar como contêiner esteganográfico do payload.
A análise de amostras deve considerar que a rotina criptográfica modificada pode impedir decriptação por ferramentas que reconhecem AES convencional. Strings como SN202012_x86, referências a StartWork, artefatos de Yahoyah e chamadas relacionadas à enumeração de SSIDs ajudam a diferenciar essa cadeia de loaders genéricos. Como parte da atividade foi atribuída por semelhança de infraestrutura, ferramentas e práticas de codificação, a atribuição não deve ser tratada como prova isolada em alertas; ela deve complementar evidências técnicas do host e da rede.
- Execução de ferramenta SMS Bomber seguida por criação ou injeção em
notepad.exe. - Acesso a
EULA.mdem GitHub ou Gitee iniciado por processo sem relação com desenvolvimento. - Requisição a recurso
index.htmque resulta em execução de carga ofuscada. - Criação de
dllhost.execom comportamento compatível com process hollowing. - Persistência por serviço ou chaves Run/Winlogon apontando para DLL recém-criada.
- Enumeração de SSIDs no endpoint seguida por envio de perfil do sistema ao servidor externo.
- Download de imagem que antecede extração de PE e chamada à função
StartWork.
A resposta deve priorizar contenção do endpoint e preservação de evidências. Se a sequência for detectada, o host deve ser isolado da rede, com coleta de árvore de processos, conexões, arquivos temporários, chaves de Registro modificadas, serviços criados e DLLs persistentes. A remoção deve cobrir tanto o SMS Bomber quanto os componentes injetados e persistentes, porque o executável visível pode ser apenas a parte usada para manter a aparência de ferramenta esperada. Também é necessário revisar conexões a repositórios GitHub ou Gitee e servidores resolvidos a partir de arquivos markdown usados como configuração.
No controle preventivo, a medida de maior retorno é reduzir a execução de binários desconhecidos por meio de allowlisting, bloqueio de execução em diretórios temporários e políticas que impeçam ferramentas greyware em estáções corporativas. EDR deve alertar para criação de processo suspenso, escrita de memória remota, alteração de contexto de thread e comportamento anômalo em notepad.exe e dllhost.exe. No Registro, alterações em Run e Winlogon feitas por processos não administrativos ou executáveis recém-baixados devem gerar investigação. Regras de proxy e DNS podem registrar acessos a repositórios externos por processos não esperados sem transformar plataformas legítimas em bloqueios amplos e ruidosos.
A validação pós-incidente deve confirmar ausência de DLLs persistentes, serviços desconhecidos, tarefas ou chaves de inicialização relacionadas, além de verificar se não há processos carregando payloads extraídos de imagens. Como a variante Yahoyah coleta SSIDs e metadados do host, a defesa deve tratar o incidente como comprometimento de estáção com reconhecimento local concluído. A rotação de credenciais deve ser decidida com base em evidências de uso de conta, tokens locais ou movimentação posterior; o material disponível sustenta backdoor e coleta de informações, mas não confirma roubo de credenciais ou exfiltração de bases de dados.
- Isolar endpoints com cadeia envolvendo SMS Bomber,
Nimbda,notepad.exeedllhost.exe. - Coletar memória, arquivos temporários, DLLs recentes, serviços criados e chaves Run/Winlogon antes de remover artefatos.
- Bloquear ou revisar execução de utilitários greyware e binários não assinados em diretórios de usuário.
- Adicionar detecções comportamentais para injeção em processo, process hollowing e download de imagem seguido de execução de PE.
- Correlacionar acessos a GitHub ou Gitee com linhagem de processo e arquivos markdown usados como configuração.
- Verificar enumeração de SSIDs e envio de perfil de sistema como sinal de reconhecimento concluído.
- Revisar políticas de EDR e proxy para preservar telemetria suficiente sem depender apenas de nomes de processo.
0 Comentários