Operação ativa desde pelo menos 2021 combina spear phishing, DLL side-loading, tarefas agendadas e infraestrutura compartilhada com sobreposições atribuídas ao ecossistema ToddyCat.
| Componente | Campanha Stayin' Alive, incluindo os backdoors e carregadores CurKeep, CurLu, CurCore, CurLog e StylerServ. |
| Vetor | Arquivos compactados, imagens ISO ou IMG e documentos temáticos usados em ataques direcionados, com execução baseada principalmente em DLL side-loading de binários legítimos. |
| Impacto | Execução de carregadores e backdoors de estágio inicial capazes de reconhecimento, recebimento de payloads adicionais, execução limitada de comandos e persistência por tarefa agendada. |
| Prioridade | Investigar DLLs carregadas por executáveis legítimos fora de seus diretórios esperados, tarefas agendadas recém-criadas e tráfego HTTP para infraestrutura defangada associada à campanha. |
| Alvos | Organizações de telecomunicações e entidades governamentais ou afiliadas a governo na Ásia, com evidências em Vietnã, Paquistão, Uzbequistão e Cazaquistão. |
| Artefatos | Uso de dal_keepalives.dll, bdch.dll, mscoree.dll, stylers.bin, tarefas AppleNotifyService e OneDrive, além de diretórios como %APPDATA%, C:\ProgramData\OneDrive\ e C:\Users\Public\Libraries. |
| IoCs | Exemplos defangados incluem fopingu[.]com, rtmcsync[.]com, qform3d[.]in, ns01[.]nayatel[.]orinafz[.]com, 149.28.28[.]159 e certificado TLS fd31ea84894d933af323fd64d36910ca0c92af99. |
A campanha Stayin' Alive reúne uma coleção de backdoors, downloaders e loaders usados contra organizações de alto valor na Ásia desde pelo menos 2021. A atividade aparece concentrada no setor de telecomunicações, mas também inclui alvos governamentais ou ligados a governo, principalmente no Vietnã, Paquistão, Uzbequistão e Cazaquistão. O conjunto observado não se comporta como uma família única de malware com base de código compartilhada; ele é formado por ferramentas pequenas, simples e variadas, projetadas para abrir acesso inicial, manter persistência mínima e buscar componentes adicionais.
O aspecto mais relevante para defesa é a combinação de artefatos descartáveis com infraestrutura reaproveitada. Os binários variam bastante entre si e não apresentam sobreposição clara de código com conjuntos conhecidos, mas vários deles se conectam a servidores, domínios, certificados e padrões de hospedagem relacionados. Essa escolha dificulta atribuição e detecção baseada apenas em assinatura de arquivo, porque cada amostra pode parecer tecnicamente isolada. Para operações de segurança, a leitura correta é tratar a campanha como um cluster de intrusão orientado por infraestrutura, tema de isca, caminho de execução e comportamento pós-execução, não como uma única assinatura de malware.
Há sobreposições com infraestrutura associada ao ator ToddyCat, já descrito em atividades de espionagem na região e vinculado a operações com interesse chinês. A evidência disponível não permite afirmar que ToddyCat executa diretamente toda a campanha Stayin' Alive; o dado sustentado é que há nexus comum, reaproveitamento ou compartilhamento de infraestrutura, além de interseção geográfica e setorial. Esse limite é importante: a defesa deve usar a associação como contexto de priorização e hunting, sem transformar a sobreposição em atribuição conclusiva.
Um fluxo representativo começou com e-mail direcionado a uma empresa de telecomunicações vietnamita em setembro de 2022. A mensagem usava tema administrativo relacionado a gestão e uso de usuários, possivelmente voltado a pessoal de TI. O anexo ZIP continha um executável legítimo assinado, mDNSResponder.exe, renomeado para combinar com o tema do e-mail, e uma DLL maliciosa chamada dal_keepalives.dll. A execução do binário legítimo acionava o carregamento lateral da DLL, que por sua vez iniciava o backdoor CurKeep.
CurKeep é pequeno, com cerca de 10 KB, e implementa sua própria resolução de funções de tempo de execução em vez de depender de uma compilação estática tradicional. Na primeira execução, ele copia a si mesmo e o executável legítimo para %APPDATA%, configura a variável de ambiente Reserved apontando para seu caminho e cria persistência por meio da tarefa agendada AppleNotifyService. Depois, inicia comunicação HTTP com o servidor de comando e controle e organiza sua lógica em três funções principais: report, shell e file. A primeira envia reconhecimento básico; as demais ficam em threads separadas para receber tarefas e lidar com operações de comando ou arquivo.
A comunicação de CurKeep usa requisições HTTP para rotas como /api/report, /api/shell e /api/file, com resultados cifrados dentro do campo JSON msg. As amostras associadas se conectavam a servidores vinculados ao mesmo certificado TLS fd31ea84894d933af323fd64d36910ca0c92af99, compartilhado por múltiplos endereços IP. Esse padrão é mais útil para hunting do que uma lista extensa de amostras, porque o operador parece variar ferramentas de estágio inicial enquanto mantém ligações de infraestrutura.
Outros componentes seguem a mesma filosofia. CurLu normalmente abusa de side-loading via bdch.dll, contata o C2 e espera receber uma DLL que será mapeada em memória, buscando exports predefinidos para execução. CurCore, entregue em um arquivo IMG com tema de informação pessoal incorreta e enviado a partir do Paquistão, usa hijacking de mscoree.dll, verifica se está no caminho C:\ProgramData\OneDrive\, cria persistência pela tarefa OneDrive quando necessário e utiliza uma cadeia de UUIDs convertidos em bytes por UuidFromStringA para formar shellcode executado via EnumSystemLocalesA. O payload final resolve funções HTTP de winhttp.dll e implementa um conjunto limitado de três comandos, sugerindo finalidade de reconhecimento inicial.
CurLog aparece em variantes de DLL e EXE e foi usado principalmente contra alvos no Cazaquistão. Uma entrega observada usava um arquivo chamado Compatible Products - Vector ver7.1.1.zip, alinhado a um documento sobre um sistema VECTOR e compatibilidades. O loader verifica se está em caminho de persistência, como C:\Users\Public\Libraries, ou se foi iniciado com parâmetro específico, e então contata o C2 para receber um fluxo hexadecimal decodificado. O fluxo esperado começa com marcadores compatíveis com arquivo PE ou outro identificador tratado pelo malware, é salvo localmente e executado como novo processo.
StylerServ é diferente dos demais porque funciona como listener passivo. Ao ser executado, cria cinco threads e escuta em portas altas, observadas como 60810, 60811, 60812, 60813 e 60814. A cada 60 segundos, tenta ler stylers.bin; se o arquivo existir e tiver tamanho 0x1014, passa a servi-lo cifrado para conexões remotas. Um arquivo com o mesmo nome foi observado como configuração cifrada por XOR, contendo formatos de arquivo e valores DWORD ainda não totalmente esclarecidos. Esse desenho indica uma função de apoio na infraestrutura de estágio ou distribuição, não apenas um beacon ativo tradicional.
A superfície mais exposta é composta por estáções Windows de usuários ou equipes técnicas que recebem anexos temáticos e executam arquivos compactados, imagens de disco ou binários aparentando legitimidade. A campanha depende de confiança operacional em nomes de arquivo, temas administrativos, softwares conhecidos e executáveis assinados. O abuso de DLL side-loading reduz a necessidade de explorar uma vulnerabilidade específica: o operador posiciona uma DLL maliciosa ao lado de um executável legítimo que a carregará durante a inicialização.
Ambientes de telecomunicações exigem atenção adicional porque a campanha usa temas relacionados a provedores, sistemas de compatibilidade, software de simulação e domínios que imitam entidades setoriais. A presença de nomes associados a ISP, telecomunicações e pesquisa sugere seleção cuidadosa de iscas para aumentar a taxa de execução. Em órgãos governamentais ou entidades afiliadas, a preocupação principal é a cadeia de estágio inicial, pois loaders simples podem ser suficientes para validar o alvo e então entregar ferramentas posteriores não descritas no material disponível.
- Estáções Windows com execução de anexos
ZIP,ISOouIMGrecebidos por e-mail ou compartilhados com tema administrativo, telecom ou pesquisa. - Diretórios de usuário e públicos usados para persistência e cópia de binários, incluindo
%APPDATA%,C:\ProgramData\OneDrive\,C:\Users\Public\LibrarieseAppData\Roaming\ApplicationData\. - Execução de binários legítimos renomeados acompanhados por DLLs inesperadas, como
dal_keepalives.dll,bdch.dlloumscoree.dllem locais não usuais. - Infraestrutura com domínios defangados como
fopingu[.]com,rtmcsync[.]com,qform3d[.]inens01[.]nayatel[.]orinafz[.]com.
A detecção deve combinar eventos de endpoint, criação de tarefas agendadas, telemetria de carregamento de DLL, proxy HTTP e inventário de arquivos. A presença de um executável assinado não deve encerrar a investigação quando o caminho de execução for anômalo ou quando houver DLL desconhecida no mesmo diretório. Em especial, eventos nos quais binários legítimos carregam dal_keepalives.dll, bdch.dll ou mscoree.dll fora de instalações esperadas merecem triagem, porque a campanha usa esse mecanismo como forma recorrente de bootstrap.
No endpoint, é útil correlacionar criação de tarefas como AppleNotifyService e OneDrive com cópia simultânea de executáveis e DLLs para diretórios de perfil ou de programa. Também vale procurar arquivos stylers.bin, v2net.dll, common.exe em caminhos derivados de ApplicationData e diretórios criados pouco antes de conexões externas. Para CurCore, a presença de uma sequência incomum de conversão de UUIDs em bytes e chamada de funções de enumeração de locale pode aparecer em telemetria avançada de EDR como padrão de execução indireta de shellcode.
Na rede, a campanha privilegia HTTP e rotas previsíveis em alguns componentes, mas o valor defensivo está mais na correlação do processo originador, destino, certificado e formato da requisição do que em um único caminho. Tráfego para /api/report, /api/shell ou /api/file vindo de processo recém-copiado para %APPDATA% deve ser tratado como suspeito. Para StylerServ, o padrão é diferente: portas altas locais aceitando conexão e servindo conteúdo cifrado de stylers.bin podem indicar papel de listener ou repositório auxiliar no host.
- Criação recente das tarefas agendadas
AppleNotifyServiceouOneDriveassociada a arquivos copiados para diretórios de usuário ouProgramData. - Carregamento de DLLs com nomes
dal_keepalives.dll,bdch.dlloumscoree.dllpor executáveis legítimos renomeados ou executados fora do caminho normal de instalação. - Conexões HTTP de processos recém-criados para rotas
/api/report,/api/shell,/api/fileou para domínios C2 defangados relacionados à campanha. - Serviços ou processos escutando nas portas 60810 a 60814 e acessando periodicamente o arquivo
stylers.bin. - Arquivos com timestamps de compilação antigos, como 2015, mas com indicadores de compilação compatíveis com Visual Studio 2017 em rich header.
A resposta deve começar pela contenção dos hosts com evidência de side-loading ou persistência por tarefa agendada. Como os componentes descritos são usados como estágio inicial, a ausência de payload final conhecido não deve reduzir a severidade do caso: o operador pode ter usado o loader apenas para reconhecimento, ou pode ter entregue ferramentas posteriores não capturadas na telemetria disponível. O isolamento temporário do endpoint, a coleta de memória quando viável e a preservação de artefatos de disco ajudam a reconstruir a linha do tempo antes de qualquer limpeza.
A remoção deve cobrir o par completo de execução, não apenas a DLL maliciosa. É necessário revisar o executável legítimo abusado, o diretório para onde foi copiado, a tarefa agendada, variáveis de ambiente criadas pelo malware e arquivos auxiliares como stylers.bin ou v2net.dll. Depois da erradicação, a organização deve buscar o mesmo padrão em outros hosts, porque a campanha usa nomes e temas diferentes para manter a mesma lógica de acesso inicial.
Em prevenção, a medida mais efetiva é reduzir a superfície de execução de anexos e imagens de disco, aplicar controle de aplicações e monitorar binários assinados executados de locais graváveis pelo usuário. Regras de detecção baseadas somente em hash terão cobertura limitada contra ferramentas descartáveis. Controles de saída HTTP, inspeção de proxy, reputação de domínios defangados transformada em bloqueio seguro e validação de certificados observados ajudam a elevar o custo operacional do atacante sem depender de uma única amostra.
- Isolar hosts com evidência de DLL side-loading, preservar artefatos e revisar tarefas agendadas antes da limpeza.
- Remover DLLs, executáveis copiados, tarefas, variáveis de ambiente e arquivos auxiliares associados ao mesmo fluxo de persistência.
- Bloquear ou monitorar comunicação com domínios e IPs defangados ligados à campanha, priorizando correlação por processo e caminho de execução.
- Restringir execução de anexos
ISO,IMGe arquivos compactados vindos de canais externos, especialmente em estáções administrativas e equipes de TI. - Criar detecções comportamentais para executáveis assinados rodando em diretórios graváveis, carregamento lateral de DLL e criação de listeners em portas altas.
0 Comentários