Campanha mira usuários de língua chinesa com instaladores adulterados de aplicativos populares, abuso de recursos do Windows e cadeia em múltiplos estágios para reduzir a visibilidade de antivírus e EDR antes da execução do trojan de acesso remoto.
| Componente | RONINGLOADER, instaladores NSIS adulterados e uma variante modificada do Gh0st RAT em sistemas Windows. |
| Vetor | Distribuição de instaladores que se passam por aplicativos legítimos, incluindo Google Chrome, Microsoft Teams e outros softwares usados como isca para usuários de língua chinesa. |
| Impacto | Desativação de processos de segurança, alteração de políticas locais, injeção em processos legítimos e execução de um RAT capaz de receber comandos, manipular registro, coletar teclas e executar novos arquivos. |
| Prioridade | Bloquear instaladores não confiáveis, revisar telemetria de criação de serviços e políticas WDAC, investigar injeções em processos do Windows e conter hosts com evidência de Gh0st RAT. |
| Artefatos | letsvpnlatest.exe, Snieoatwtregoable.exe, tp.png, ollama.sys, regsvr32.exe, TrustedInstaller.exe, elevation_service.exe, svchost.exe e WerFaultSecure.exe. |
| Técnicas | Carregamento lateral de DLL, execução em memória, tentativa de remoção de hooks em ntdll.dll, abuso de PPL, uso de política WDAC maliciosa e injeção relacionada à técnica PoolParty. |
O grupo Dragon Breath, também rastreado como APT-Q-27 e Golden Eye, foi observado usando uma cadeia de infecção em múltiplos estágios baseada no RONINGLOADER para entregar uma variante modificada do Gh0st RAT. A atividade é voltada principalmente a usuários de língua chinesa e depende de instaladores adulterados que imitam aplicativos confiáveis. O uso de nomes reconhecíveis reduz a fricção social da execução inicial, enquanto a arquitetura da cadeia tenta desmontar camadas defensivas antes de implantar o payload final.
A campanha combina redundância operacional com técnicas específicas para interferir em produtos de segurança comuns no mercado chinês. O fluxo envolve instaladores NSIS, DLL e conteúdo criptografado apresentado como imagem, execução de código em memória, varredura de processos de antivírus, carregamento de driver assinado e manipulação de mecanismos do Windows como PPL, Windows Error Reporting e Windows Defender Application Control. O resultado é uma preparação agressiva do host para esconder a atividade e permitir que o Gh0st RAT opere com menor interferência de ferramentas de endpoint.
O Gh0st RAT entregue ao fim da cadeia mantém capacidades típicas de controle remoto e espionagem. A variante descrita consegue se comunicar com servidor remoto para buscar instruções adicionais, alterar chaves do Registro do Windows, limpar logs de eventos, baixar e executar arquivos, modificar conteúdo da área de transferência, executar comandos por meio de comando operacional omitido, injetar shellcode em svchost.exe e executar payloads gravados em disco. Também há módulo para captura de teclas, conteúdo da área de transferência e títulos de janelas em primeiro plano, o que amplia o risco para credenciais digitadas, sessões ativas e dados sensíveis manipulados pelo usuário.
A etapa inicial usa instaladores NSIS trojanizados que se apresentam como aplicativos legítimos. No fluxo descrito, o instalador principal contém outros dois instaladores NSIS embutidos: um deles, letsvpnlatest.exe, instala software legítimo; o outro, Snieoatwtregoable.exe, aciona a cadeia maliciosa de forma silenciosa. Essa separação ajuda a preservar a aparência de normalidade para o usuário, porque uma instalação legítima pode ocorrer ao mesmo tempo em que a lógica maliciosa prepara o ambiente para execução posterior.
A cadeia maliciosa entrega uma DLL e um arquivo criptografado chamado tp.png. A DLL lê o conteúdo do suposto PNG e extrai shellcode usado para iniciar outro binário em memória. Essa estratégia reduz dependência de artefatos executáveis evidentes no disco e permite que parte da carga seja tratada como recurso aparentemente inofensivo. O RONINGLOADER também tenta carregar uma cópia limpa de ntdll.dll para remover hooks de modo usuário, uma técnica usada para reduzir a observabilidade de chamadas monitoradas por produtos de segurança.
Depois da execução inicial, o loader tenta elevar privilégios por meio do mecanismo runas e enumera processos em execução em busca de soluções antivírus codificadas na amostra. Entre os alvos aparecem Microsoft Defender Antivirus, Kingsoft Internet Security, Tencent PC Manager e Qihoo 360 Total Security. Para processos de segurança em geral, o loader grava um driver em disco e cria um serviço temporário chamado ollama para carregar o driver, encerrar processos, parar o serviço e removê-lo em seguida. Quando identifica componentes do Qihoo 360, como 360tray.exe, 360Safe.exe ou ZhuDongFangYu.exe, a cadeia segue um tratamento adicional que inclui driver assinado e serviço temporário relacionado a xererre1.
A campanha também abusa de mecanismos do Windows para neutralizar defesas. Foram observadas técnicas que exploram PPL e o subsistema Windows Error Reporting por meio de WerFaultSecure.exe, associadas ao padrão conhecido como EDR-Freeze, para desabilitar o Microsoft Defender Antivirus. A cadeia ainda grava uma política WDAC maliciosa que bloqueia explicitamente produtos de segurança chineses, incluindo Qihoo 360 Total Security e Huorong Security. Em seguida, scripts em lote são usados para contornar UAC e criar regras de firewall que bloqueiam conexões de entrada e saída relacionadas ao Qihoo 360, sem necessidade de publicar comandos operacionais.
Na etapa final, o RONINGLOADER injeta uma DLL maliciosa em regsvr32.exe, binário legítimo do Windows, e usa processos legítimos de maior privilégio, como TrustedInstaller.exe ou elevation_service.exe, para iniciar o próximo estágio. O payload final é a variante modificada do Gh0st RAT. Essa escolha de processos nativos dificulta análise superficial baseada apenas em nomes de binários e desloca a detecção para comportamento: criação anômala de serviços, alterações de política, injeção entre processos, carregamento incomum de drivers e comunicação de controle remoto.
A superfície mais exposta está em estáções Windows onde usuários executam instaladores obtidos fora de canais confiáveis. A campanha foi descrita com foco em usuários de língua chinesa e usa marcas de software legítimo como isca. Além de instaladores que imitam Google Chrome e Microsoft Teams, outras campanhas relacionadas de entrega de Gh0st RAT usaram impersonação em larga escala de marcas como i4tools, Youdao, DeepSeek, QQ Music e Sogou browser, com distribuição por domínios que hospedavam arquivos ZIP contendo instaladores adulterados.
Ambientes com forte dependência de antivírus locais, EDR e políticas de aplicação no endpoint podem ser impactados de forma desigual. A cadeia foi desenhada para procurar processos de segurança específicos e aplicar lógicas diferentes conforme o produto encontrado. Isso indica que a defesa não deve tratar a execução do RAT como primeiro sinal relevante. A preparação do host, incluindo tentativa de elevar privilégio, encerramento de processos, criação de serviços temporários, alteração de firewall e gravação de política WDAC, oferece uma janela de detecção anterior ao estágio de controle remoto.
A infraestrutura de entrega descrita em campanhas relacionadas incluiu uso de domínios de redirecionamento intermediário e buckets de serviços de nuvem pública para recuperar arquivos ZIP. Esse modelo pode reduzir a eficácia de filtros que bloqueiam apenas domínios desconhecidos ou recém-criados, porque parte do tráfego pode parecer associado a serviços de nuvem legítimos. O uso simultâneo de infraestrutura antiga e nova sugere operação com múltiplos conjuntos de ferramentas ou testes paralelos de TTPs, mas o contexto não permite atribuir essas campanhas relacionadas a um ator específico.
- Estáções Windows em que usuários executam instaladores NSIS ou MSI baixados de páginas que imitam marcas conhecidas.
- Hosts com produtos de segurança citados na cadeia, incluindo Microsoft Defender Antivirus, Qihoo 360 Total Security, Huorong Security, Tencent PC Manager e Kingsoft Internet Security.
- Ambientes que permitem criação de serviços temporários, carregamento de drivers e gravação local de políticas WDAC sem controle administrativo rígido.
- Controles de rede que confiam excessivamente em reputação de domínio, sem inspeção de artefatos baixados e comportamento pós-download.
A investigação deve começar antes do payload final. Em endpoints Windows, a criação rápida de serviços temporários para carregar drivers, seguida de parada e remoção do serviço, é um sinal importante. Os nomes ollama e xererre1 aparecem no fluxo observado e devem ser tratados como pivôs de busca, mas a defesa não deve depender apenas deles, porque nomes de serviço são triviais de alterar. O comportamento mais robusto é a combinação entre gravação de driver, tentativa de encerrar processos de segurança, criação de regra de firewall para produtos defensivos e alterações de política WDAC.
A telemetria de processo deve priorizar relações incomuns envolvendo regsvr32.exe, TrustedInstaller.exe, elevation_service.exe, svchost.exe, vssvc.exe e WerFaultSecure.exe. Eventos de injeção, abertura de processo com privilégios elevados, concessão de SeDebugPrivilege, execução de shellcode em processo de serviço e abuso de Windows Error Reporting são sinais de alto valor. A presença de tp.png como contêiner de conteúdo criptografado também merece análise, especialmente quando aparece junto de DLL recém-gravada por instalador NSIS.
No nível de aplicação e navegação, equipes devem correlacionar downloads de ZIP e instaladores com páginas que imitam marcas populares. Em campanhas relacionadas, a distribuição por infraestrutura com redirecionamentos intermediários e buckets de nuvem pública aumentou a resiliência operacional. Portanto, logs de proxy, DNS, EDR e navegador devem ser analisados em conjunto, procurando sequência de visita a domínio de isca, download de arquivo compactado, execução de instalador, criação de artefatos em disco e contato posterior com servidor remoto do RAT. Indicadores de C2 não foram detalhados no material analisado, então a caça deve se apoiar em classes de comportamento e não em listas estáticas de domínios.
- Execução de instaladores NSIS ou MSI seguida por criação de DLL, arquivo
tp.pnge processo filho anômalo em memória. - Criação e remoção rápida de serviços temporários usados para carregar driver, especialmente quando seguida de encerramento de processos de segurança.
- Alterações WDAC que bloqueiam produtos defensivos e regras de firewall criadas para impedir tráfego de ferramentas de segurança.
- Uso suspeito de
WerFaultSecure.exe,regsvr32.exe,TrustedInstaller.exe,elevation_service.exe,svchost.exeouvssvc.exeem cadeia com injeção de código. - Limpeza de logs de eventos, alteração de Registro, captura de teclado, leitura de área de transferência e títulos de janelas como sinais pós-comprometimento.
A resposta deve priorizar contenção do endpoint e preservação de evidências. Um host com sinais de RONINGLOADER ou Gh0st RAT deve ser isolado da rede antes de qualquer limpeza, porque o RAT pode receber instruções remotas para executar arquivos, manipular Registro, limpar logs e alterar dados de área de transferência. A equipe deve coletar árvore de processos, serviços recentes, drivers carregados, políticas WDAC, regras de firewall, artefatos de instalador, arquivos compactados baixados e histórico de execução. Quando houver indício de captura de teclado ou área de transferência, a rotação de credenciais usadas no host deve ser tratada como etapa de contenção, não como atividade posterior opcional.
Na prevenção, o controle mais efetivo é reduzir a execução de instaladores fora de fontes confiáveis e aplicar allowlisting com revisão de exceções. Políticas de aplicação devem impedir execução de instaladores baixados de diretórios de usuário quando não houver necessidade operacional. Controles de EDR devem alertar para tentativas de remover hooks de bibliotecas do Windows, carregar drivers incomuns, conceder privilégios de depuração e criar políticas WDAC locais sem fluxo administrativo. A validação de assinatura de driver não é suficiente, porque a cadeia descrita usa driver legitimamente assinado como parte do abuso.
Para ambientes expostos a campanhas com impersonação de marcas, a camada de rede deve combinar reputação, análise de conteúdo baixado e inspeção comportamental pós-download. Bloqueios baseados apenas em domínio podem falhar quando a cadeia usa redirecionadores e buckets de nuvem pública. Também é recomendável revisar alertas que envolvam execução de comando operacional omitido por processos incomuns, injeção em svchost.exe, limpeza de logs e downloads acionados por payloads já em execução. A ausência de IoCs completos no contexto reforça a necessidade de detecção por comportamento, principalmente na transição entre instalador adulterado, loader e RAT.
- Conter imediatamente hosts com criação suspeita de serviços temporários, carregamento de driver e encerramento de ferramentas de segurança.
- Revisar e restaurar políticas WDAC e regras de firewall alteradas sem autorização administrativa.
- Bloquear execução de instaladores baixados de fontes não verificadas e reforçar allowlisting para diretórios de usuário.
- Investigar credenciais usadas em máquinas com sinais de keylogging, captura de área de transferência ou acesso remoto pelo RAT.
- Correlacionar telemetria de endpoint, proxy, DNS e download para reconstruir a cadeia desde a página de isca até o payload final.
0 Comentários