Operação de espionagem chinesa mantém iscas em documentos Word, entrega via RoyalRoad e cadeia em memória para carregar módulos da backdoor Soul em ambientes governamentais.
| Componente | Cadeia Sharp Panda com documentos Word, RTF RoyalRoad, 5.t Downloader, SoulSearcher e backdoor modular Soul. |
| Vetor | Spear phishing com temas governamentais; o documento Word usa modelo remoto para obter um RTF malicioso e iniciar carregadores DLL em memória. |
| Impacto | Acesso remoto voltado a espionagem, enumeração detalhada do sistema e carregamento de módulos adicionais a partir de servidor C2 georrestrito. |
| Prioridade | Priorizar caça por documentos com modelo remoto, tarefas agendadas acionando DLL por comando operacional omitido, chaves em HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF e comunicação HTTP/HTTPS com padrões de registro da backdoor. |
| Alvos | Entidades governamentais no Sudeste Asiático, com menções a Vietnã, Tailândia e Indonésia. |
| Artefatos | Amostra de SoulSearcher citada com SHA-256 d1a6c383de655f96e53812ee1dec87dd51992c4be28471e44d7dd558585312e0. |
| Persistência | Indícios de uso de registro sob Microsoft\CTF, evento global Global\3GS7JR4S e possível variação de hijacking de DLL relacionada ao serviço IKEEXT com arquivo wlbsctrl.dll. |
A atividade descrita envolve uma operação de espionagem chinesa rastreada como Sharp Panda, direcionada a entidades governamentais no Sudeste Asiático. A cadeia observada preserva elementos vistos desde 2021: mensagens de spear phishing com documentos Word de tema governamental, uso de modelo remoto para acionar um RTF armado com o kit RoyalRoad e execução de uma sequência de carregadores em memória. A diferença relevante na campanha mais recente é a substituição do payload final anteriormente observado, VictoryDll, por uma versão nova do carregador SoulSearcher, responsável por preparar e carregar módulos da backdoor modular Soul.
O fluxo mostra uma operação preocupada em seleção de vítimas e redução de ruído operacional. O downloader inicial consulta infraestrutura C2 georrestrita, que só retorna próximos estágios para endereços IP de países-alvo. Antes de receber a carga seguinte, o implante coleta dados do host, incluindo nome da máquina, versão do sistema operacional, arquitetura, usuário, endereços MAC e informações sobre antivírus. Essa etapa permite que o operador decida se o equipamento merece progressão na cadeia, evitando entregar ferramentas completas para ambientes fora do escopo ou para sistemas que possam representar análise defensiva.
A campanha também introduz mudanças de comunicação e ofuscação. Amostras novas mantêm o padrão de criptografia RC4 combinado com Base64, mas alteram a forma de montar requisições, deixam de usar um agente de usuário distintivo associado a versões anteriores e, em alguns casos, passam a se comunicar por HTTPS. A nova versão do downloader também amplia a proteção de strings, ainda que por uma lógica simples de XOR em laço. Para defesa, isso significa que detecções muito rígidas baseadas apenas em um caminho antigo, agente de usuário específico ou transporte HTTP simples perdem cobertura contra variantes recentes.
A entrada inicial ocorre por spear phishing. O documento Word recebido pela vítima usa um modelo remoto para buscar e executar um RTF malicioso. Esse RTF entrega no disco um downloader DLL, citado como res6.a, que é acionado por tarefa agendada com comando operacional omitido e exportação StartA. O downloader, identificado como 5.t Downloader, mantém a função de coletar informações do sistema e negociar com o C2 antes de carregar o próximo estágio em memória. A execução em memória reduz artefatos diretos no disco e desloca a análise para telemetria de processo, memória, registro e rede.
Nas variantes novas, a requisição de payload passa a usar o mesmo caminho PHP de outras chamadas, incluindo o nome do host em texto claro e também em MD5 como parâmetro antes de codificação. O conteúdo continua protegido por RC4 e Base64. O servidor responde com o executável do próximo estágio em formato criptografado e um checksum MD5; após validação, o downloader descriptografa a DLL, carrega o conteúdo em memória e transfere a execução para a exportação StartW. Esse encadeamento dá ao operador controle sobre a entrega condicional e mantém a carga final distante do documento inicial.
O segundo estágio, SoulSearcher, atua como carregador da backdoor Soul. A amostra recente inclui a backdoor comprimida na seção de dados do próprio loader e usa configuração embutida em XML codificada em Base64. Depois de decodificar a configuração, o loader grava dados no registro em HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\CONFIGEX. Em seguida, deriva nomes de chaves com MD5 a partir de strings relacionadas a arquitetura, como ServerBase32 ou ServerBase64, armazena o payload comprimido sob HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\Assemblies\..., valida checksums, descomprime com LZMA e carrega refletivamente o módulo principal da Soul.
A backdoor principal se comunica com C2 e tem foco em receber e carregar módulos adicionais. A versão analisada difere de amostras mais antigas por usar um protocolo C2 customizado mais complexo, ainda baseado em HTTP, com métodos como GET, POST e DELETE e cabeçalhos adicionais. A configuração inclui um recurso de silêncio por horário, representado por 168 posições, uma para cada hora da semana. Quando uma posição está bloqueada, a backdoor não tenta comunicação. Esse comportamento permite que os operadores alinhem o tráfego a janelas específicas e reduzam a chance de detecção por beaconing constante fora de padrões esperados.
Antes da comunicação principal, o módulo cria o evento global Global\3GS7JR4S, lê chaves sob Microsoft\CTF, extrai sua configuração e valida parâmetros de conexão. A backdoor registra informações no registro, gera um identificador de bot a partir de hashes MD5 calculados sobre dados enumerados e executa uma sequência de requisições para notificar o servidor, validar a conexão e preparar o envio de enumeração. O protocolo observado não enfatiza comandos clássicos de backdoor, como manipulação local de arquivos ou execução remota direta; sua função central é sustentar o carregamento de módulos adicionais e a coleta inicial necessária para operações de espionagem.
A superfície principal são órgãos governamentais e redes associadas a países do Sudeste Asiático citados na atividade, especialmente ambientes ligados a reivindicações territoriais ou projetos de infraestrutura estratégica. O vetor depende de usuários que recebem e abrem documentos Word temáticos, com capacidade de recuperar modelos remotos e acionar conteúdo RTF malicioso. Ambientes que permitem tráfego de saída sem inspeção adequada, execução de tarefas agendadas incomuns e carregamento de DLL por processos legítimos oferecem mais espaço para a cadeia avançar.
No endpoint, a exposição envolve Microsoft Office, execução de RTF weaponizado, criação de tarefas agendadas, comando operacional omitido invocando exportações específicas, carregamento refletivo de DLL, uso de registro no hive do usuário e possível abuso de caminho de DLL relacionado a serviço. No plano de rede, a superfície inclui conexões HTTP ou HTTPS para servidores C2 que podem responder de forma seletiva com base na geolocalização do IP. Essa georrestrição dificulta reprodução por defensores fora da região-alvo e pode ocultar o estágio final durante análise automatizada em sandboxes genéricas.
O uso de chaves em HKEY_CURRENT_USER indica que a cadeia pode manter artefatos relevantes sem exigir necessariamente escrita em áreas globais do sistema para todos os estágios descritos. A presença de caminhos sob SOFTWARE\Microsoft\CTF, valores de configuração, payload comprimido e identificador de bot oferece pontos concretos de inspeção. O possível uso de wlbsctrl.dll associado a uma variação de hijacking no contexto do serviço IKEEXT deve ser tratado como sinal de persistência ou execução alternativa quando aparecer em conjunto com os demais artefatos.
- Entidades governamentais no Sudeste Asiático, com foco em Vietnã, Tailândia e Indonésia no contexto descrito.
- Estáções Windows de usuários que recebem documentos Word com temas governamentais e permitem carregamento de modelo remoto.
- Endpoints com tarefas agendadas acionando DLL por comando operacional omitido e exportações
StartAouStartW. - Ambientes em que conexões HTTP/HTTPS de saída para C2 não são correlacionadas com processo, usuário, país e horário.
- Registro do usuário contendo caminhos sob
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTFe subchavesAssemblies,CONFIGEX,SVIFouUUID.
A caça deve começar pelo encadeamento de execução, não apenas por hash. Procure documentos Office que acionem modelos remotos e sejam seguidos por criação de arquivo RTF, execução de tarefa agendada e chamada de comando operacional omitido para DLL com exportação incomum. A combinação entre tema governamental, modelo remoto, RTF RoyalRoad e execução em memória é mais robusta que qualquer indicador isolado, porque os operadores alteraram padrões de URL, agente de usuário e transporte.
Na telemetria de endpoint, eventos de criação de processo devem ser correlacionados com escrita de DLL temporária, criação de tarefa agendada e acesso subsequente ao registro em caminhos Microsoft\CTF. Monitore criação ou modificação de CONFIGEX, subchaves Assemblies, SVIF e UUID, além de valores com blobs comprimidos ou codificados. Também é útil detectar processos como svchost.exe, msdtc.exe ou spoolsv.exe carregando módulos em contexto suspeito, pois o loader verifica esses nomes e pode ser reaproveitado em cadeias diferentes da observada.
Na rede, a investigação deve priorizar conexões de saída feitas logo após execução de documento ou tarefa agendada, com corpos codificados, uso de MD5 em cabeçalhos ou parâmetros, métodos HTTP variados e comportamento de registro inicial. A presença de comunicação apenas em horários específicos pode impedir alertas baseados em beaconing constante. Por isso, a análise temporal deve considerar janelas semanais, ausência deliberada de tráfego em certos períodos e retomada de conexão conforme a configuração OlTime.
A georrestrição do C2 cria uma limitação importante para validação. Um sandbox fora do país-alvo pode receber resposta vazia ou inválida e concluir incorretamente que a cadeia não entrega payload. Para compensar, defensores devem preservar amostras, memória de processo, blobs de registro e metadados de requisição, mesmo quando o servidor não fornece próximo estágio. O valor defensivo está em reconstruir a cadeia a partir dos artefatos locais e da sequência de eventos, não em depender de resposta ativa do C2.
- Documento Word seguido de busca de modelo remoto, RTF malicioso e tarefa agendada executando DLL por comando operacional omitido.
- Criação ou leitura de
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\CONFIGEXe subchaves emAssemblies. - Evento global
Global\3GS7JR4Sem processo associado à cadeia da backdoor Soul. - Conexões HTTP ou HTTPS com dados codificados, parâmetros derivados de hostname e MD5, e métodos GET, POST ou DELETE usados em sequência de registro.
- Uso anômalo de
wlbsctrl.dllem contexto relacionado a IKEEXT, quando combinado com outros sinais da campanha.
A resposta deve combinar contenção de endpoint, análise de documentos e revisão de tráfego. Em sistemas suspeitos, isole a estáção, preserve memória e colete artefatos de registro antes de limpeza, porque a cadeia usa carregamento em memória e blobs comprimidos. A remoção simples de um arquivo inicial pode apagar apenas a primeira etapa, deixando configuração, identificadores e possíveis módulos adicionais armazenados no perfil do usuário. A investigação precisa reconstruir o encadeamento desde o documento até a comunicação C2.
No controle preventivo, restrinja modelos remotos em documentos Office quando não houver necessidade operacional, fortaleça políticas de abertura de arquivos recebidos por e-mail e trate documentos governamentais inesperados como alto risco em organizações-alvo. Regras de detecção devem observar a relação entre Office, RTF, tarefas agendadas e comando operacional omitido, além de bloquear ou alertar para execução de DLL com nomes e exportações incomuns. Como a campanha alterou detalhes de comunicação, detecções devem usar comportamento e correlação de eventos, não apenas strings antigas.
Na camada de rede, aplique inspeção de saída com associação a processo e usuário, registre métodos HTTP incomuns em sequência e monitore conexões em horários regulares ou seletivos. Quando houver suspeita de georrestrição, não descarte amostras que não recebem payload em laboratório. A ausência de resposta do servidor pode refletir seleção por país, não inatividade. Também é necessário revisar allowlists que permitam tráfego HTTPS genérico sem inspeção contextual a partir de estáções administrativas ou redes governamentais sensíveis.
Após contenção, revise credenciais usadas no host, avalie contas acessadas durante a janela de execução e procure a mesma cadeia em estáções relacionadas ao mesmo fluxo de e-mail. Embora o contexto descreva foco em carregamento de módulos e enumeração, uma operação de espionagem pode evoluir conforme módulos adicionais entregues pelo C2. A validação final deve confirmar ausência das chaves de registro citadas, ausência de tarefas agendadas associadas, inexistência de DLLs suspeitas em caminhos de serviço e interrupção de comunicações compatíveis com o protocolo observado.
- Bloquear ou restringir modelos remotos em documentos Office e reforçar análise de anexos com tema governamental.
- Criar detecções para Office acionando RTF, tarefa agendada e comando operacional omitido com DLL recém-criada.
- Coletar e revisar chaves sob
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTFantes de remover artefatos. - Correlacionar tráfego HTTP/HTTPS de saída com processo, usuário, país de destino, método HTTP e horário semanal.
- Verificar uso suspeito de
wlbsctrl.dlle revisar serviços relacionados quando houver sinais adicionais da cadeia. - Preservar memória, registro e amostras quando o C2 não retornar payload, devido à seleção geográfica descrita.
0 Comentários