Malware em Go associado ao Camaro Dragon usa iscas diplomáticas, desvio específico contra o antivírus SmadAV, tarefas agendadas redundantes e canais C2 para manter acesso inicial em ambientes alvo.
| Componente | Backdoor TinyNote, implementado em Go, associado ao cluster Camaro Dragon e observado em servidor de distribuição também relacionado ao MQsTTang. |
| Vetor | Executáveis com nomes ligados a assuntos diplomáticos e ícone de pasta, projetados para induzir execução pelo usuário em ambientes de interesse diplomático no Sudeste e Leste Asiático. |
| Impacto | Enumeração básica da máquina, criação de persistência por tarefas agendadas e execução remota de comandos recebidos de servidores C2, inclusive por PowerShell e por rotina interna do malware. |
| Prioridade | Investigar endpoints Windows com artefatos do TinyNote, revisar tarefas agendadas suspeitas, procurar caminhos aleatórios sob c:\users\public\ e tratar comunicações com C2 defangados como incidente de acesso inicial. |
| Artefatos | Mutex NASA&USA, diretório c:\programdata\Robots, tarefas agendadas chamadas test e test2, cópias em caminhos com nome aleatório contendo .zip e executáveis de cinco caracteres. |
| IoCs | Exemplos defangados incluem 103.159.132[.]91, 103.169.90[.]132, 5.188.33[.]190 e 23.106.123[.]59; devem ser tratados como indicadores históricos e validados contra telemetria interna. |
O TinyNote é um backdoor leve associado ao cluster Camaro Dragon e descrito como uma ferramenta de primeiro estágio para coleta de informações e execução remota de comandos. O malware foi encontrado em um servidor de distribuição ligado à atividade do grupo e também apareceu em amostras observadas em ambiente externo. A mesma infraestrutura tinha relação com o backdoor MQsTTang no período citado, o que reforça a conexão operacional entre famílias diferentes usadas pelo mesmo conjunto de operadores. O ponto central para defesa é que o TinyNote não depende de sofisticação ampla; ele busca um acesso inicial funcional, com persistência redundante e comunicação com mais de um servidor de comando e controle.
As amostras usam nomes de arquivo relacionados a assuntos de relações exteriores, listas de contatos diplomáticos e documentos atribuídos a embaixadas. Essa escolha de nomenclatura, combinada com ícone de pasta, indica tentativa de fazer o executável parecer material administrativo ou diplomático. O contexto de vitimologia aponta para alvos prováveis em embaixadas do Sudeste e do Leste Asiático. A ferramenta também contém uma lógica específica para contornar o antivírus indonésio SmadAV, detalhe que sugere reconhecimento prévio dos ambientes visados e adaptação a soluções de segurança usadas por parte das vítimas.
No início da execução, o TinyNote chama uma rotina identificada como bypassSMADAV, criada para interferir na lógica de avaliação do SmadAV. O antivírus verifica janelas visíveis associadas a processos recém-criados e pode alertar quando não encontra uma janela visível relacionada ao novo processo. O malware tenta satisfazer essa condição criando uma janela sem nome, com classe padrão EDIT, dimensões zeradas e atributos que fazem a API IsWindowVisible tratá-la como visível, embora ela não seja apresentada ao usuário, não apareça na barra de tarefas e não surja na alternância de janelas. Essa técnica não é um desvio genérico de todos os controles de endpoint; ela explora uma lógica específica de inspeção de processo descrita para essa solução.
Depois dessa etapa, o malware cria o mutex NASA&USA e segue por dois modos principais. Quando o caminho do arquivo não contém a string zip, ele tenta criar c:\programdata\Robots; se essa criação falha, a execução é interrompida, o que indica dependência de permissão suficiente no endpoint. Em seguida, cria duas tarefas agendadas, test e test2 comando operacional omitido robots.txt em servidores C2 diferentes. A redundância reduz a dependência de um único ponto de comando. O payload PowerShell descrito recupera comandos por cabeçalho de resposta, executa a instrução recebida e envia a saída ao servidor em requisição posterior, com separador textual específico para concatenar resultados.
A persistência também inclui uma cópia do próprio executável para c:\users\public\ com nome aleatório de 16 caracteres e extensão .zip. O mesmo nome é usado como pasta, e dentro desse caminho o malware grava um executável com nome aleatório de cinco caracteres. Depois, uma tarefa agendada passa a executar a cópia no caminho randomizado. Quando o TinyNote já está rodando a partir de um caminho que contém zip, ele enumera dados do sistema, concatena essas informações, aplica XOR simples com a chave NASA, codifica o resultado em Base64 e escolhe aleatoriamente uma URL C2 entre três opções. A resposta esperada é um JSON que, após validação e decodificação, aciona uma Goroutine para executar comandos e manter o loop de escuta ativo.
A superfície exposta é composta principalmente por estáções Windows em ambientes onde usuários podem abrir executáveis disfarçados como pastas ou documentos diplomáticos. A campanha se apoia em nomes temáticos, e não em uma vulnerabilidade documentada no material analisado. Portanto, o vetor defensivo deve ser tratado como engenharia social e execução local de binário, com persistência posterior via tarefas agendadas. O TinyNote exige condições mínimas para gravar no sistema e manter seus artefatos, especialmente a criação de diretório em ProgramData e escrita sob Users\Public. Ambientes com bloqueio de execução em diretórios graváveis por usuários, restrição de tarefas agendadas e controle de scripts PowerShell têm mais pontos de contenção.
O uso de SmadAV no fluxo não significa que apenas organizações com esse antivírus estejam em risco, mas indica que os operadores desenharam uma etapa para ambientes onde ele poderia interferir na execução. A presença do mecanismo de desvio é um sinal de segmentação: os operadores parecem conhecer ferramentas instaladas por parte dos alvos. Como o malware é simples, a exposição real depende menos de recursos avançados e mais de execução inicial, permissão para gravação, agendamento de tarefas e conectividade de saída para infraestrutura C2. O risco operacional é acesso remoto persistente e coleta de dados do host, não uma cadeia completa de intrusão confirmada pelo material recebido.
- Endpoints Windows que permitam execução de binários a partir de diretórios de usuário ou mídia entregue por isca diplomática.
- Ambientes com permissões suficientes para criar
c:\programdata\Robotse registrar tarefas agendadas. - Hosts com conexões de saída para infraestrutura C2 associada, incluindo endereços defangados observados historicamente.
- Usuários e setores que lidam com documentos de relações exteriores, convites diplomáticos ou materiais atribuídos a embaixadas.
A investigação deve começar por eventos de criação de processo e de tarefas agendadas. Os nomes test e test2 comando operacional omitido c:\programdata\Robots é um artefato relevante porque aparece antes da persistência principal. Em c:\users\public\, a defesa deve procurar estruturas com nome aleatório terminado em .zip sendo usadas como diretório e contendo um executável de cinco caracteres. Essa combinação é mais forte do que qualquer elemento isolado, pois une randomização, persistência e execução fora de locais típicos de instalação.
No endpoint, a criação de uma janela invisível baseada na classe EDIT é um detalhe de baixo nível que pode ser difícil de registrar fora de EDRs com telemetria rica de API, mas o comportamento resultante pode aparecer como processo sem interface real que ainda satisfaz verificações de janela visível. Em rede, a telemetria deve priorizar requisições HTTP para C2, variação de user-agent entre perfis comuns de navegadores e respostas que carregam instruções codificadas. O conteúdo recebido pelo PowerShell e pela rotina em Go não deve ser reproduzido em relatórios operacionais; para defesa, basta registrar origem, destino, processo responsável, linha temporal, usuário, tarefa agendada e saída enviada para fora do host.
- Criação de mutex
NASA&USAassociada a binário desconhecido ou recém-criado. - Diretório
c:\programdata\Robotsseguido por registro de tarefas agendadas com nomes simples e baixa semântica administrativa. - Execução de PowerShell vinculada a tarefas agendadas e a resposta remota contendo comandos ou cabeçalhos incomuns.
- Caminhos sob
c:\users\public\com diretório terminado em.zipe executável interno com nome curto aleatório. - Comunicação com
103.159.132[.]91,103.169.90[.]132,5.188.33[.]190ou infraestrutura com certificados que mencionam domínios relacionados amofa[.]gov[.]tw.
A resposta deve tratar qualquer host com sinais combinados do TinyNote como potencial acesso inicial persistente. A primeira medida é isolar o endpoint da rede para impedir novas instruções C2 e preservar evidências de processo, tarefas agendadas, artefatos em disco e conexões recentes. Em seguida, a equipe deve remover a persistência somente depois de coletar dados suficientes para entender usuário, horário de execução, binário original, cópias geradas e destinos de rede. Como o malware pode usar mais de um canal para receber comandos, bloquear apenas um endereço observado não encerra a investigação; é necessário revisar resoluções, conexões HTTP, proxies, EDR e logs de firewall no intervalo completo da execução.
Para reduzir recorrência, a organização deve restringir execução em diretórios graváveis por usuários, aplicar políticas de controle de aplicação, auditar criação de tarefas agendadas por contas não administrativas e aumentar visibilidade de PowerShell. A validação também deve cobrir usuários que receberam ou abriram arquivos com temas diplomáticos. Se o ambiente usa SmadAV, o desvio específico deve ser tratado como sinal de que os operadores podem conhecer controles locais; a correção não é apenas trocar um produto, mas revisar regras de bloqueio, comportamento de processo, inspeção de scripts e detecção de persistência. A contenção final deve incluir varredura por cópias randomizadas, checagem de credenciais usadas no host e busca lateral por artefatos semelhantes em máquinas com perfil de usuário ou função institucional próxima.
- Isolar endpoints com mutex, diretórios, tarefas agendadas e comunicações C2 compatíveis com TinyNote.
- Coletar imagem lógica ou artefatos relevantes antes de remover tarefas
test,test2e executáveis em caminhos randomizados. - Bloquear indicadores defangados observados e procurar conexões correlatas em proxy, DNS, EDR e firewall sem publicar links ativos.
- Revisar políticas de PowerShell, criação de tarefas agendadas e execução em
Users\PubliceProgramData. - Caçar nomes de arquivo ligados a documentos diplomáticos e ícones de pasta associados a executáveis, especialmente em caixas de correio, downloads e compartilhamentos internos.
0 Comentários