Evasive Panda usa envenenamento de DNS para entregar MgBot em campanha direcionada

Grupo alinhado à China explorou respostas DNS manipuladas, atualizadores falsos e carregadores em múltiplos estágios para instalar o backdoor MgBot contra alvos na Turquia, China e Índia.

Componente	Cadeia de entrega do MgBot operada pelo grupo Evasive Panda, também rastreado como Bronze Highland, Daggerfly e StormBamboo.
Vetor	Envenenamento seletivo de DNS em cenários de adversary-in-the-middle para redirecionar requisições legítimas de atualização e obtenção de recursos para servidores controlados pelo operador.
Impacto	Instalação de carregadores, execução de shellcode em estágios, injeção de variante do MgBot em `svchost.exe` e capacidade de coleta de arquivos, teclas digitadas, área de transferência, áudio e credenciais de navegadores.
Prioridade	Validar resolução DNS, telemetria de atualização de software, carregamento lateral de DLLs, criação de `perf.dat` e anomalias de processo associadas a `python.exe`, `libpython2.4.dll` e `svchost.exe`.
Período	Atividade observada entre novembro de 2022 e novembro de 2024.
Alvos	Vítimas direcionadas na Turquia, China e Índia, com seleção por localização geográfica, provedor de internet e versão do Windows.
Artefatos	Domínios defangados `p2p[.]hd[.]sohu[.]com[.]cn` e `dictionary[.]com`, caminho de atualização do SohuVA em `appdata\roaming\shapp\7[.]0[.]18[.]0\package`, arquivo `C:\ProgramData\Microsoft\eHome\perf.dat` e carregador `libpython2.4.dll`.

Resumo técnico

A campanha atribuída ao Evasive Panda mostra uma cadeia de espionagem cibernética baseada em manipulação seletiva de DNS, não em simples envio de arquivos maliciosos por e-mail ou exploração pública de vulnerabilidade. O operador interferiu em requisições DNS de vítimas específicas para fazer com que domínios legítimos resolvessem para infraestrutura sob seu controle. Esse posicionamento permitiu entregar componentes maliciosos no momento em que aplicações reais tentavam atualizar binários ou buscar recursos, reduzindo a fricção operacional e aumentando a chance de o tráfego parecer compatível com atividades normais do ambiente.

A atividade foi observada entre novembro de 2022 e novembro de 2024 contra alvos na Turquia, China e Índia. O conjunto técnico combina iscas de atualização de software, carregadores em múltiplos estágios, shellcode criptografado obtido como arquivo de imagem PNG e uma variante do MgBot injetada em processo legítimo do Windows. O uso de respostas DNS manipuladas para domínios conhecidos, como p2p[.]hd[.]sohu[.]com[.]cn e dictionary[.]com, indica uma operação direcionada, dependente de condições de rede e de seleção de vítimas, em vez de distribuição ampla e indiscriminada.

O Evasive Panda é descrito como um grupo ativo desde pelo menos 2012 e rastreado por diferentes nomes, incluindo Bronze Highland, Daggerfly e StormBamboo. Nesta operação, a relevância defensiva está no abuso de confiança em infraestrutura legítima: a vítima pode iniciar uma atualização de software ou uma requisição aparentemente regular, mas receber uma resposta alterada no caminho. Isso desloca a detecção para pontos como integridade de resolução DNS, validação de origem de atualizações, comportamento de carregadores e anomalias pós-execução no endpoint.

Fluxo técnico

A cadeia começa com requisições DNS associadas a aplicações legítimas ou recursos populares. Em um dos cenários, a isca se passa por atualização do SohuVA, serviço de vídeo da Sohu, e o domínio defangado p2p[.]hd[.]sohu[.]com[.]cn aparece como ponto de entrega. A hipótese técnica sustentada pelo contexto é que a resposta DNS para esse domínio foi alterada quando o módulo de atualização legítimo tentava alcançar seus binários no caminho appdata\roaming\shapp\7[.]0[.]18[.]0\package. O mesmo padrão aparece em campanhas com falsos atualizadores relacionados a iQIYI Video, IObit Smart Defrag e Tencent QQ.

Após a entrega inicial, um carregador executa shellcode responsável por buscar um segundo estágio criptografado. Esse segundo estágio é recuperado como arquivo PNG, novamente por meio de resolução DNS manipulada, desta vez associada ao domínio defangado dictionary[.]com. A manipulação fazia sistemas de vítimas resolverem o domínio para endereço IP controlado pelo operador com base em condições como localização geográfica e provedor de internet. A requisição HTTP para esse estágio também incluía o número da versão atual do Windows, o que sugere ajuste de entrega conforme o sistema operacional da vítima.

A forma exata de envenenamento das respostas DNS não foi confirmada no contexto. Duas possibilidades são compatíveis com os dados descritos: comprometimento seletivo de provedores de internet usados pelas vítimas, com algum implante de rede em dispositivos de borda, ou invasão de roteador ou firewall no próprio ambiente da vítima. Em ambos os casos, o requisito operacional é uma posição capaz de alterar resolução ou tráfego no caminho, permitindo que domínios legítimos conduzam a cargas controladas pelo adversário sem exigir que o usuário acesse um domínio evidentemente suspeito.

Um segundo carregador chamado libpython2.4.dll usa carregamento lateral com uma versão antiga e renomeada de python.exe. Quando iniciado, ele lê o conteúdo de C:\ProgramData\Microsoft\eHome\perf.dat, onde fica armazenado o payload de próxima etapa. Esse arquivo contém conteúdo originado do estágio anterior, processado por criptografia em camadas. O material foi inicialmente protegido por XOR e depois salvo com uma combinação personalizada envolvendo DPAPI da Microsoft e o algoritmo RC5. Essa escolha amarra a decodificação ao sistema onde o conteúdo foi produzido, dificultando análise fora da máquina da vítima e reduzindo o valor de payloads interceptados em trânsito.

O estágio final descrito é uma variante do MgBot, injetada pelo carregador em um processo legítimo svchost.exe. O MgBot é um implante modular com capacidade de coleta de arquivos, registro de teclas, captura de dados da área de transferência, gravação de fluxo de áudio e roubo de credenciais em navegadores. A cadeia favorece persistência discreta e coleta prolongada, com foco em espionagem, não em interrupção operacional visível.

Superfície afetada

A superfície exposta não se limita ao endpoint que executa o MgBot. A campanha depende de confiança em DNS, atualizações de terceiros e tráfego HTTP associado a domínios legítimos. Ambientes onde estáções permitem atualizações sem validação forte de assinatura, onde proxies não registram discrepâncias entre resolução e destino, ou onde roteadores e firewalls não recebem revisão de integridade ficam mais vulneráveis a esse tipo de cadeia. A presença de softwares como SohuVA, iQIYI Video, IObit Smart Defrag ou Tencent QQ não é, por si só, evidência de comprometimento, mas aumenta o valor de telemetria sobre atualizações inesperadas e origem dos binários recebidos.

A seleção por geografia, provedor e versão do Windows significa que a ausência de reprodução em laboratório não elimina risco. Um domínio pode resolver corretamente para a maioria dos usuários e ainda ser manipulado apenas para uma vítima específica. Esse comportamento exige comparação entre fontes de DNS internas e externas, análise histórica por resolver, correlação com ASN do provedor e inspeção de eventos no endpoint no momento da atualização ou da obtenção de recursos.

Estáções Windows que executaram atualizadores falsos ou receberam binários por fluxos associados a SohuVA, iQIYI Video, IObit Smart Defrag ou Tencent QQ.
Redes em que respostas DNS para p2p[.]hd[.]sohu[.]com[.]cn ou dictionary[.]com divergiram de resoluções esperadas para a mesma janela temporal.
Dispositivos de borda, roteadores, firewalls e infraestrutura de provedor que possam ter sido usados para alterar respostas DNS ou tráfego de atualização.
Endpoints com execução anômala de python.exe renomeado, carregamento de libpython2.4.dll e leitura de C:\ProgramData\Microsoft\eHome\perf.dat.

Hunting e telemetria

A investigação deve começar pela linha do tempo de DNS e atualização de software. O ponto defensivo principal é identificar resoluções seletivas e inconsistentes para domínios legítimos, especialmente quando acompanhadas de download de binários, arquivos com aparência de imagem que carregam conteúdo criptografado ou execução de carregadores logo após uma atualização. Como a campanha usa domínios conhecidos e possivelmente respostas condicionadas ao provedor, bloquear apenas nomes de domínio pode gerar baixa eficácia e alto ruído; a prioridade é comparar destino resolvido, reputação histórica, certificado, caminho HTTP e processo que iniciou a conexão.

No endpoint, a telemetria deve procurar encadeamentos entre aplicação de vídeo ou utilitário de terceiros, criação de arquivo em diretório de dados do Windows, carregamento lateral de DLL e injeção em svchost.exe. A presença de perf.dat no caminho descrito é um artefato relevante quando correlacionada com execução de carregadores e chamadas de descriptografia. O uso de DPAPI e RC5 personalizado também indica que a análise forense precisa preservar a máquina original, pois o conteúdo pode não ser decodificável de forma útil fora do sistema comprometido.

Como o MgBot tem capacidades de coleta de credenciais, arquivos, teclas, área de transferência e áudio, a caça deve considerar sinais de espionagem prolongada. Isso inclui acesso incomum a perfis de navegador, leitura de diretórios de documentos, interação com APIs de áudio, captura de clipboard e conexões de processo legítimo para destinos que não fazem parte do padrão operacional normal. A injeção em svchost.exe exige análise por árvore de processos, módulos carregados, regiões de memória executável não mapeadas e conexões de rede abertas por instâncias de serviço fora do perfil esperado.

Resoluções DNS divergentes por região, provedor ou resolver para p2p[.]hd[.]sohu[.]com[.]cn e dictionary[.]com.
Downloads iniciados por módulos de atualização legítimos que terminam em binários, shellcode criptografado ou arquivos PNG com comportamento incompatível com imagem comum.
Criação, leitura ou alteração de C:\ProgramData\Microsoft\eHome\perf.dat em conjunto com execução de python.exe renomeado.
Carregamento de libpython2.4.dll por processo inesperado e sequência posterior de injeção em svchost.exe.
Acesso incomum de svchost.exe a credenciais de navegador, área de transferência, arquivos de usuário ou interfaces de áudio.

Mitigação

A resposta deve tratar a campanha como incidente de rede e endpoint ao mesmo tempo. Apenas remover o binário final pode deixar intacto o ponto de manipulação DNS que permitiu a entrega. A primeira etapa é isolar sistemas com artefatos compatíveis, preservar memória e disco para análise, registrar resoluções DNS históricas e comparar os IPs retornados com fontes independentes. Em paralelo, equipes de rede devem revisar roteadores, firewalls, configurações de DNS, encaminhadores, regras NAT e alterações administrativas recentes em dispositivos de borda.

No endpoint, a contenção deve incluir bloqueio ou quarentena de carregadores, verificação de integridade de softwares usados como isca e análise de processos svchost.exe com módulos e memória anômalos. Credenciais de navegadores e contas usadas nos sistemas afetados devem ser consideradas sob risco quando houver evidência de execução do MgBot, pois o implante possui capacidade de coleta. A rotação deve ser priorizada para contas interativas, credenciais salvas em navegador e acessos usados no período de exposição.

A prevenção depende de controles que validem a cadeia de atualização e reduzam confiança cega em DNS. Assinatura de binários, allowlist de fornecedores, inspeção de proxy, DNS com validação e logs de resolução com retenção adequada ajudam a transformar o abuso em sinal investigável. Para ambientes com usuários em regiões ou provedores de maior risco, é útil comparar periodicamente respostas DNS contra resolvers controlados pela organização e bloquear atualizações de software que não passem por validação centralizada.

Isolar endpoints com perf.dat, libpython2.4.dll, python.exe renomeado ou injeção suspeita em svchost.exe.
Preservar evidências locais antes de decodificação ou limpeza, pois o payload criptografado pode depender do sistema original por uso de DPAPI.
Revisar integridade de roteadores, firewalls, encaminhadores DNS e logs administrativos de dispositivos de borda.
Comparar respostas DNS internas e externas para domínios legítimos usados na cadeia e investigar divergências seletivas.
Validar assinatura e origem de atualizações de terceiros antes da execução, especialmente para softwares usados como isca na campanha.
Rotacionar credenciais potencialmente expostas quando houver confirmação de execução do MgBot ou acesso anômalo a armazenamentos de navegador.

Evasive Panda usa envenenamento de DNS para entregar MgBot em campanha direcionada

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Evasive Panda usa envenenamento de DNS para entregar MgBot em campanha direcionada

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato