A cadeia usa engenharia social em pendrives, sideloading de DLLs e persistência no Windows para manter acesso, propagar infecções e preparar payloads adicionais em ambientes fora do alvo inicial.
| Componente | Conjunto de ferramentas de Camaro Dragon com HopperTick, WispRider, backdoor carregado por sideloading de DLL e módulo de infecção por USB em Windows. |
| Vetor | Execução manual de um lançador malicioso colocado na raiz de uma unidade USB infectada, com arquivos legítimos ocultados para induzir o usuário a abrir o executável. |
| Impacto | Propagação automática para novas unidades removíveis, persistência via chave Run e tarefa agendada, comunicação C2 por sockets brutos criptografados com XOR e execução de payloads adicionais. |
| Prioridade | Isolar hosts que receberam unidades USB suspeitas, revisar persistência em registro e tarefas agendadas, procurar sideloading dos binários citados e bloquear o domínio C2 defangado www.beautyporntube[.]com. |
| Artefatos | Foram observados caminhos e nomes como Kaspersky\Usb Drive\3.0, LDVPOCX.OCX, ZIPDLL.dll, vivaldi_elf.dll, HPCustPartUI.dll, EACoreServer.exe e EACore.dll. |
| Alvo observado | Um hospital europeu foi afetado após um funcionário retornar de conferência na Ásia com uma unidade USB contaminada; a atividade foi descrita como dano colateral de propagação, não como ataque direcionado ao hospital. |
Camaro Dragon, um ator de espionagem baseado na China e voltado principalmente a países do Sudeste Asiático e entidades estrangeiras relacionadas a essa região, foi associado a uma cadeia de malware que se espalha por unidades USB. O caso analisado começou em um hospital europeu, mas a sequência observada indica propagação oportunista: um funcionário usou um pendrive em uma conferência na Ásia, o dispositivo foi contaminado em um computador de terceiro e, ao retornar ao ambiente hospitalar, introduziu a infecção na rede local. Esse detalhe é importante para defesa porque o incidente não depende de seleção direta do alvo final; a cadeia transforma mídias removíveis em vetor de transporte entre organizações desconectadas.
O conjunto técnico envolve lançadores em Delphi ou MFC, sideloading de DLLs por executáveis legítimos, persistência em Windows e um componente que monitora a inserção de novos dispositivos. A versão inicial observada no hospital usava um lançador Delphi no pendrive, um componente legítimo da Symantec para carregar LDVPOCX.OCX, um backdoor carregado por CUZ.exe e um módulo de evasão carregado por vivaldi.exe. Versões posteriores passaram a ser rastreadas como HopperTick, responsável por transferir a infecção a partir do USB, e WispRider, uma DLL que combina backdoor e infectador de unidades removíveis. As ferramentas preservam o mesmo princípio operacional: esconder os arquivos do usuário, exibir um executável com ícone de pendrive e depender da ação humana para iniciar a cadeia.
A atividade compartilha TTPs e recursos com operações atribuídas anteriormente a atores chineses como Mustang Panda e LuminousMoth, mas a atribuição operacional precisa deve ser tratada com cautela defensiva: o dado acionável está no comportamento dos artefatos, na propagação por USB, no sideloading e nos mecanismos de persistência. O ecossistema citado também inclui TinyNote, um backdoor em Go, e HorseShell, implante malicioso em firmware de roteador, conectados por infraestrutura e objetivos operacionais. Para operações de segurança, o ponto central é que a infecção não fica limitada à organização originalmente visada; ela acompanha mídias removíveis e pode aparecer em hospitais, empresas, redes governamentais ou estáções pessoais que apenas compartilharam arquivos por USB.
A cadeia clássica começa quando a vítima abre o lançador malicioso na raiz da unidade USB. No dispositivo infectado, os arquivos reais do usuário são movidos ou ocultados em diretórios separados, enquanto o usuário passa a ver um executável com o nome do pendrive e ícone compatível com unidade removível. Não há mecanismo especial de execução automática descrito; a operação depende de engenharia social. Ao abrir o lançador, os arquivos ocultos são revelados para reduzir suspeita, e a cadeia inicia a carga de componentes já posicionados em caminhos como Kaspersky\Usb Drive\3.0. Em uma variante anterior, um componente legítimo da Symantec executa sideloading de LDVPOCX.OCX, cria mutex, configura persistência por chave Run e copia arquivos de trabalho para o host infectado.
Após a cópia local, payloads criptografados com extensão .dat são armazenados em diretórios sob C:\ProgramData, incluindo um caminho com aparência de produto de segurança. Dois conjuntos são descriptografados e reposicionados: um associado a vivaldi.exe e vivaldi_elf.dll, usado como módulo de evasão, e outro associado a CUZ.exe e ZIPDLL.dll, usado para carregar o backdoor principal. O módulo vinculado ao Vivaldi altera chaves em SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\, incluindo parâmetros relacionados a arquivos ocultos e extensões. Essa manipulação reforça o truque visual da cadeia, pois controla como o Windows apresenta arquivos escondidos ao usuário.
Nas versões posteriores, HopperTick identifica a letra da unidade de onde está sendo executado, deriva um identificador a partir do número de série do volume e procura um arquivo correspondente em caminhos esperados no USB. Esse arquivo contém shellcode, que é carregado, descriptografado, realocado e executado em memória. A aplicação não continua seu próprio fluxo convencional; ela transfere a execução para o código carregado. Em seguida, WispRider atua como DLL carregada por sideloading, valida argumentos esperados como técnica contra execução fora da cadeia real, cria mutex para limitar instâncias e procura um arquivo de configuração. A configuração passa por verificação CRC32 e descriptografia com duas rodadas de XOR, contendo caminhos, conteúdos criptografados e metadados que definem quais arquivos serão gravados no PC ou no USB.
WispRider decide seu comportamento ao comparar o processo em execução com entradas da configuração. Se entende que já está em uma máquina infectada, copia e executa payloads adicionais marcados para esse modo. Um dos payloads citados é HPCustPartUI.dll, carregado por HPCustParticUI.exe, que procura arquivos em unidades do sistema com extensões pré-definidas e os prepara para exfiltração. Se a máquina ainda não estiver infectada, a DLL cria diretórios, grava arquivos como EACoreServer.exe e EACore.dll, recriptografa a configuração com novas chaves derivadas de arrays aleatórios, salva um novo .dat e estabelece persistência por chave Run e tarefa agendada. Depois disso, inicia threads separadas para comunicação C2 e infecção de dispositivos USB.
A comunicação de comando e controle usa sockets brutos com tráfego cifrado por XOR, em que a chave aleatória acompanha o início da requisição e também é usada para descriptografar a resposta. O malware gera um identificador do bot com dados do host, como informações obtidas por APIs de rede e volume, e prepara parâmetros de C2 baseados em representação hexadecimal de IPv4 e porta. Um endereço local inicial é substituído por resolução ligada ao domínio defangado www.beautyporntube[.]com. A capacidade do backdoor nessa versão é descrita como limitada e orientada a manter presença e receber payloads adicionais, o que reduz a necessidade de procurar apenas ações finais chamativas; a detecção deve priorizar o carregamento anômalo, a persistência e o ciclo de propagação.
A superfície primária é composta por estáções Windows que aceitam mídias removíveis e por usuários que trocam arquivos por pendrive em conferências, ambientes hospitalares, instituições públicas ou redes com baixa restrição de dispositivos USB. O fluxo também alcança máquinas sem relação com o alvo de espionagem inicial porque a unidade contaminada funciona como ponte física. Em hosts infectados, qualquer novo dispositivo removível conectado pode ser modificado. A lógica descrita cria uma janela falsa e monitora eventos de mudança de dispositivo, incluindo WM_DEVICECHANGE, para reagir à inserção de novas unidades.
A versão anterior diferencia dispositivos hot-pluggable usando APIs do Windows e requisições de controle de armazenamento antes de marcar letras de unidade para infecção. Entretanto, há um comportamento observado em que unidades de rede adicionadas após a infecção também podem ser afetadas, porque a rotina que responde a eventos de chegada de dispositivo não repete a verificação de hot-plug. Esse detalhe não foi apresentado como função intencional de movimento lateral, mas pode gerar alteração ruidosa em compartilhamentos, com ocultação ou substituição visual de arquivos por executáveis com ícone de USB. Em redes corporativas, essa característica torna compartilhamentos recém-mapeados uma área de inspeção relevante após a descoberta de um host contaminado.
Os artefatos locais variam conforme a configuração e a versão. A família usa executáveis legítimos para carregar DLLs maliciosas ao lado do binário, técnica que dificulta triagens baseadas apenas no nome do processo. Caminhos sob C:\ProgramData, diretórios com nomes de fornecedores conhecidos e arquivos .dat criptografados aparecem como parte do armazenamento local. No USB, a cadeia cria diretórios ocultos na raiz, remove ou substitui tipos de arquivos executáveis e de script que poderiam interferir na infecção e mantém uma lista interna de arquivos relacionados à própria cadeia para não danificá-los durante a manipulação da unidade.
- Estáções Windows em que usuários conectaram pendrives vindos de conferências, terceiros ou ambientes sem controle de mídia removível.
- Unidades USB que passaram a exibir apenas um executável com nome e ícone do próprio dispositivo enquanto os arquivos reais ficaram ocultos.
- Hosts com sideloading envolvendo
CUZ.exe,ZIPDLL.dll,vivaldi.exe,vivaldi_elf.dll,HPCustParticUI.exe,HPCustPartUI.dll,EACoreServer.exeouEACore.dll. - Compartilhamentos de rede adicionados depois da infecção, quando houver evidência de manipulação de arquivos semelhante à rotina de USB.
A investigação defensiva deve começar pelo encadeamento entre evento de inserção de USB, execução de binário a partir da raiz do dispositivo e criação quase imediata de arquivos em diretórios de aplicação ou ProgramData. Em EDR, são sinais fortes a execução de um arquivo com nome igual ou semelhante ao rótulo do pendrive, a criação de diretórios Kaspersky\Usb Drive\3.0 ou System Volume Information com conteúdo incomum, a abertura de arquivos .dat criptografados e o carregamento de DLLs a partir do mesmo diretório de executáveis legítimos. A presença de mutex, alteração de chaves do Explorer relacionadas a arquivos ocultos e criação de persistência por Run ou tarefa agendada reforçam a hipótese.
Em telemetria de endpoint, procure processos legítimos com DLLs inesperadas em diretórios graváveis pelo malware, especialmente quando a árvore de processos começa em mídia removível. A sequência de criação de arquivos, descriptografia, movimentação para diretórios de aplicação e início de dois executáveis distintos é mais confiável que uma única assinatura de nome. Para caça em unidades USB, avalie mudanças nos atributos de arquivos, surgimento de pastas ocultas na raiz, exclusão de arquivos com extensões executáveis ou de script e criação de um executável que imita a identidade visual do dispositivo. Essa análise deve ser feita com cópia forense ou ambiente controlado, sem abrir artefatos diretamente no endpoint de produção.
Na rede, a comunicação por sockets brutos e o uso de XOR podem não gerar padrões HTTP convencionais. A resolução do domínio defangado www.beautyporntube[.]com, quando vista a partir de um host que também mostra evidências de USB e sideloading, é um indicador de alta prioridade. Também convém revisar conexões para endereços derivados ou resolvidos no período da infecção, sem assumir que todo tráfego suspeito usará o mesmo domínio. Para o payload de coleta, a presença de HPCustPartUI.log ao lado de HPCustPartUI.dll e acesso recorrente a arquivos com extensões como documentos e áudio indicam possível estágio de preparação para exfiltração.
- Execução de binário na raiz de USB seguida de criação de arquivos sob
C:\ProgramDataou diretórios de aplicações legítimas. - Carregamento de DLLs não esperadas por executáveis como
CUZ.exe,vivaldi.exe,HPCustParticUI.exeouEACoreServer.exe. - Alterações em chaves do Explorer relacionadas a
Hidden,HideFileExteShowSuperHidden. - Criação de chave
Runou tarefa agendada apontando para executável legítimo usado com argumento específico pela cadeia. - Consulta DNS ao domínio defangado
www.beautyporntube[.]comem host com evidências de mídia removível suspeita.
A resposta deve priorizar contenção física e lógica. Unidades USB suspeitas não devem ser reconectadas a estáções de produção; o conteúdo precisa ser preservado para análise em ambiente isolado. Hosts que executaram artefatos a partir de mídia removível devem ser removidos da rede até que persistência, tarefas agendadas, chaves Run, DLLs carregadas por sideloading e diretórios de trabalho sejam revisados. Como a cadeia replica componentes para novos dispositivos, limpar apenas o endpoint sem controlar as mídias removíveis pode reiniciar o ciclo quando o pendrive voltar a ser usado.
Em ambientes com risco elevado, a mitigação estrutural inclui bloqueio ou controle de dispositivos USB, aplicação de políticas que impeçam execução a partir de mídia removível, visibilidade de eventos de montagem de volume e auditoria de criação de tarefas agendadas. A restrição de sideloading exige reduzir diretórios graváveis no caminho de aplicações legítimas, monitorar DLLs ao lado de executáveis confiáveis e validar assinaturas quando houver binários incomuns. O certificado malicioso citado para uma amostra de lançador já havia sido revogado; ainda assim, a checagem de assinatura deve ser combinada com comportamento, porque o fluxo depende de arquivos locais, configuração criptografada e execução por cadeia.
A erradicação deve cobrir os pontos de persistência e os artefatos usados para reinfecção. Depois de remover componentes, valide que as chaves de visualização de arquivos ocultos voltaram ao estado esperado, que não há tarefas agendadas apontando para binários usados pela cadeia e que unidades USB limpas não recebem novos arquivos ao serem conectadas. Para redes em que compartilhamentos foram mapeados após a infecção, revise alterações em massa de atributos, criação de executáveis com ícone de pendrive e exclusão de arquivos executáveis ou scripts. A comunicação externa deve ser bloqueada para indicadores confirmados, com atenção especial a resoluções DNS do domínio C2 defangado e conexões brutas incomuns originadas dos hosts afetados.
- Isolar endpoints que executaram artefatos a partir de USB e preservar a mídia removível para análise controlada.
- Bloquear execução de programas a partir de unidades removíveis e registrar eventos de inserção, montagem e remoção de dispositivos.
- Remover persistência em chaves
Rune tarefas agendadas associadas aos binários usados porWispRider. - Procurar e eliminar DLLs maliciosas carregadas por sideloading ao lado de executáveis legítimos citados na cadeia.
- Revisar compartilhamentos de rede adicionados após a infecção e restaurar atributos de arquivos manipulados quando a alteração for confirmada.
0 Comentários