A operação mira ministérios de Relações Exteriores, embaixadas e temas diplomáticos na Europa, usando iscas políticas, arquivos HTML e cadeias com LNK ou MSI para instalar uma variante do PlugX.
| Componente | Campanha SmugX, cadeias de entrega por HTML Smuggling e implante PlugX em sistemas Windows |
| Vetor | Documentos HTML maliciosos com temas diplomáticos salvam um segundo estágio no diretório de downloads; a execução posterior envolve arquivo ZIP com LNK ou JavaScript que obtém um MSI remoto |
| Impacto | Instalação de PlugX por sideloading de DLL, persistência via chave Run, comunicação com C2 e capacidades de RAT como captura de tela, registro de teclas, execução de comandos e acesso a arquivos |
| Prioridade | Bloquear e investigar arquivos HTML de origem externa que gerem ZIP, LNK, JavaScript ou MSI, revisar persistência em registro e procurar execução de binários legítimos acompanhados por DLL e data.dat |
| Artefatos | Uso de robotaskbaricon.exe ou passwordgenerator.exe como executáveis legítimos para sideloading, DLL carregadora, payload cifrado em data.dat, diretórios ocultos e caminho observado C:\Users\Public\VirtualFile |
| IoCs | Domínio de rastreamento www.jcswcd[.]com, IPs defangados 62.233.57[.]136 e 45.134.83[.]29, e certificado C2 com relação técnica a atividade previamente associada a RedDelta e Mustang Panda |
| Atribuição | A campanha se sobrepõe a atividades atribuídas a RedDelta e, em parte, Mustang Panda; o vínculo direto com Camaro Dragon não é sustentado pelo material analisado |
A campanha SmugX descreve uma operação de espionagem voltada a entidades governamentais europeias, com foco em ministérios de Relações Exteriores, embaixadas e organizações envolvidas em política externa ou doméstica. A atividade está ativa desde pelo menos dezembro de 2022 e usa temas diplomáticos para aumentar a probabilidade de abertura dos arquivos. As iscas citadas tratam de assuntos como prioridades da Presidência Sueca do Conselho da União Europeia, convite para conferência diplomática do Ministério das Relações Exteriores da Hungria e conteúdo relacionado a temas de direitos humanos envolvendo a China. Essa seleção de temas indica uma campanha desenhada para perfis com acesso a debates de política pública, relações internacionais e documentação sensível de governo, sem que o contexto sustente afirmar comprometimento de dados além da execução e operação do implante.
O elemento técnico central é o uso de HTML Smuggling para transportar ou reconstruir o segundo estágio no navegador da vítima. Em vez de depender apenas de anexos tradicionais, o arquivo HTML cria localmente um artefato de download, normalmente um ZIP, JavaScript ou MSI em etapa posterior, o que reduz a exposição inicial a controles que analisam anexos estáticos. O objetivo final das cadeias observadas é a instalação de PlugX, um implante do tipo RAT associado há anos a múltiplos atores chineses. A variante mantém capacidades já conhecidas, mas a campanha chama atenção pelo encadeamento de entrega, pelo uso de sideloading de DLL e pela presença crescente de RC4 para proteger payload e configuração em comparação com amostras antigas que usavam XOR.
A primeira cadeia parte de um documento HTML malicioso que salva um arquivo ZIP no diretório definido pelas configurações do navegador. Dentro do arquivo compactado há um LNK que aciona PowerShell de forma indireta para extrair conteúdo incorporado no próprio atalho e gravá-lo em %temp%. O material extraído inclui um executável legítimo, uma DLL carregadora e o payload cifrado. Em seguida, o executável legítimo é iniciado e carrega a DLL maliciosa por sideloading. A DLL decifra o conteúdo armazenado em data.dat, geralmente com RC4 e uma chave embutida ou associada à configuração, e carrega o implante em memória para continuidade da execução.
A segunda cadeia também começa no HTML, mas entrega um JavaScript que busca um pacote MSI em infraestrutura controlada pelo operador. O MSI cria uma pasta sob %appdata%\Local e posiciona a mesma tríade operacional: binário legítimo sequestrado para sideloading, DLL carregadora e payload cifrado. O HTML usa recursos do navegador para criar um objeto a partir de um blob, como createObjectURL, e acionar o salvamento do arquivo; em navegadores antigos, o fluxo pode recorrer a msSaveOrOpenBlob. Esses detalhes são relevantes para defesa porque o arquivo HTML não precisa conter um executável evidente em disco no momento de recebimento, mas produz artefatos perigosos depois da interação do usuário.
Após a execução inicial, o PlugX copia componentes para diretórios ocultos e estabelece persistência por meio de uma entrada na chave Run do registro. Algumas amostras também criam e abrem um PDF-isca em %temp%, com o caminho armazenado na configuração sob document_name, embora esse campo não apareça na maioria das amostras citadas. Depois de preparar persistência e reposicionar arquivos, o malware reinicia sua própria execução com parâmetro voltado à comunicação com C2. Durante a análise da campanha, foi observado um script em lote enviado pelo C2 para apagar rastros, removendo executável legítimo, DLL carregadora, chave de persistência e o próprio script, o que sugere uma tentativa de reduzir evidências quando a operação foi percebida.
A superfície primária são estáções Windows usadas por pessoal diplomático, ministérios, embaixadas e equipes que manipulam documentos de política externa. O vetor exige que o usuário abra o HTML e interaja com o artefato gerado ou com o estágio subsequente, o que coloca gateways de e-mail, proxies, navegadores, controles de download, EDR e políticas de execução de scripts no centro da prevenção. A campanha não depende de uma vulnerabilidade nova descrita no contexto; ela combina engenharia social, geração local de arquivos e abuso de binários legítimos para contornar expectativas de detecção baseadas apenas em extensão ou reputação de arquivo.
Também há uma camada de reconhecimento por documento com imagem remota de pixel único. O documento China Tries to Block Prominent Uyghur Speaker at UN.docx acessa hxxps://www.jcswcd[.]com/?wd=cqyahznz para carregar uma imagem invisível. Quando o cliente solicita esse recurso, o servidor pode registrar endereço IP, agente de usuário e horário de acesso. Esse comportamento não instala o PlugX por si só, mas permite ao operador avaliar abertura do documento, localização aproximada, software cliente e interesse do alvo antes de fases posteriores. Para organizações governamentais, esse sinal é importante porque revela triagem de destinatários e validação de listas de alvos.
A atribuição deve ser tratada com cautela operacional. A campanha apresenta sobreposição de vitimologia, infraestrutura, caminhos e técnicas com atividades associadas a RedDelta e Mustang Panda. Um certificado em servidor C2 no IP defangado 62.233.57[.]136 continha nome comum apontando para 45.134.83[.]29, indicador previamente relacionado a RedDelta e também referenciado em pesquisas sobre Mustang Panda. Apesar disso, o vínculo direto com Camaro Dragon não fica estabelecido no contexto. Para threat intel, a conclusão defensiva mais útil é agrupar SmugX por técnica, iscas diplomáticas e artefatos, sem depender de uma única etiqueta de ator para priorizar detecção.
- Alvos prováveis: ministérios de Relações Exteriores, embaixadas e usuários envolvidos em documentação diplomática na Europa, principalmente no Leste Europeu.
- Artefatos de execução: HTML de origem externa, ZIP com LNK, JavaScript, MSI remoto, DLL carregadora,
data.date binários legítimos usados para sideloading. - Locais relevantes: diretório de downloads do navegador,
%temp%,%appdata%\Local, diretórios ocultos criados pelo implante e caminhoC:\Users\Public\VirtualFile.
A investigação deve começar pela cadeia de arquivos. Eventos em que um HTML recém-aberto cria ou induz download de ZIP, JavaScript ou MSI merecem correlação com origem do e-mail, URL de entrega, nome do arquivo e usuário que abriu o conteúdo. Em endpoint, a defesa deve procurar LNKs que resultem em chamadas de PowerShell com extração de conteúdo, criação de arquivos em %temp% e execução subsequente de binários legítimos em diretórios incomuns. O padrão de três arquivos no mesmo diretório, formado por executável legítimo, DLL suspeita e data.dat, é mais útil do que buscar apenas um nome fixo, porque campanhas com PlugX costumam trocar nomes mantendo a lógica de sideloading.
A persistência pode ser caçada por modificações na chave Run que apontem para diretórios ocultos, %appdata%\Local, caminhos públicos incomuns ou nomes de programas que não correspondem ao inventário da estáção. Como algumas amostras abrem um PDF-isca em %temp%, a sequência criação de PDF, abertura automática e criação de persistência é um pivô relevante. Em rede, a telemetria deve identificar conexões de processos recém-criados por sideloading para infraestrutura externa, certificados incomuns e comunicações associadas aos IPs defangados citados. O domínio de pixel tracking deve ser tratado como indicador de reconhecimento; o acesso isolado a ele pode representar validação de alvo mesmo sem instalação confirmada do implante.
No nível de análise de malware, a presença de configuração cifrada na seção de dados e payload protegido por RC4 ajuda a diferenciar amostras desta campanha de variantes antigas que usavam XOR simples. Essa distinção é útil para laboratório e engenharia reversa, mas a operação de SOC deve priorizar sinais comportamentais: HTML gerando segundo estágio, LNK com extração embutida, MSI criando diretório local com tríade de sideloading, persistência por Run e limpeza posterior por script em lote. O script del_RoboTask Update.bat, citado como mecanismo de apagamento de rastros, também deve ser buscado em históricos de EDR e artefatos de execução, mesmo quando o arquivo já tiver sido removido.
- Criação de ZIP, JavaScript ou MSI logo após abertura de HTML recebido por e-mail, navegador ou canal de colaboração.
- Execução de
robotaskbaricon.exeoupasswordgenerator.exefora de caminhos esperados, acompanhada por DLL desconhecida e arquivodata.dat. - Entradas novas em
Runapontando para diretórios ocultos,%appdata%\Local,%temp%ouC:\Users\Public\VirtualFile. - Requisições ao domínio defangado
www.jcswcd[.]comcom parâmetros de rastreamento e carregamento de imagem remota de um pixel. - Conexões ou certificados associados aos IPs defangados
62.233.57[.]136e45.134.83[.]29, avaliados junto com processo de origem e histórico do host.
A resposta deve tratar SmugX como uma cadeia de acesso inicial e persistência, não apenas como detecção de um hash específico. O primeiro controle é reduzir a execução de arquivos ativos gerados por HTML: bloquear ou isolar HTML externo quando ele criar downloads de ZIP, LNK, JavaScript ou MSI; aplicar análise dinâmica em anexos e links; e impedir execução de LNKs e scripts vindos de zonas não confiáveis. Políticas de aplicação devem restringir MSI e JavaScript fora de canais administrados, enquanto EDR deve alertar para PowerShell acionado por LNK e para binários legítimos carregando DLLs em diretórios graváveis pelo usuário.
Em hosts suspeitos, a contenção começa com isolamento de rede, coleta de artefatos voláteis e preservação de logs antes de qualquer limpeza. A equipe deve revisar diretórios de downloads, %temp%, %appdata%\Local, diretórios ocultos e entradas de Run, buscando a tríade executável-DLL-data.dat. Como o PlugX pode operar como RAT e possui módulos para captura de tela, registro de teclas, execução de comandos e acesso a arquivos, a análise de impacto precisa considerar o período de comunicação C2 confirmado pela telemetria. O contexto não permite afirmar vazamento de dados em todos os casos; a decisão deve ser baseada em logs de processo, rede, EDR e evidências de comandos executados.
Depois da erradicação, a organização deve revisar regras de e-mail para temas diplomáticos recorrentes, fortalecer treinamento direcionado a equipes de governo e ajustar controles para documentos que carregam recursos remotos invisíveis. Requisições a imagens externas em documentos sensíveis devem ser bloqueadas ou mediadas por proxy quando possível, pois permitem reconhecimento silencioso. A validação final deve incluir busca retroativa por indicadores de pixel tracking, execução dos binários legítimos citados em caminhos anômalos, artefatos de RC4 em amostras coletadas e qualquer tentativa de limpeza por batch. A atribuição pode apoiar priorização de inteligência, mas a mitigação efetiva depende de bloquear a sequência técnica observada.
- Aplicar bloqueio ou sandbox para HTML externo que produza ZIP, LNK, JavaScript ou MSI, especialmente quando associado a temas diplomáticos.
- Restringir execução de LNK, JavaScript e MSI a partir de diretórios de usuário, downloads e anexos, usando controles de aplicação e políticas de zona.
- Criar detecções para sideloading com executáveis legítimos em diretórios incomuns, DLL adjacente desconhecida e arquivo
data.datcifrado. - Revisar e remover persistência indevida na chave
Run, preservando evidências antes da limpeza em hosts potencialmente comprometidos. - Bloquear carregamento automático de imagens remotas em documentos recebidos de fora da organização e investigar acessos ao domínio defangado de rastreamento.
0 Comentários