Campanha de espionagem transforma ambientes de governo, telecomunicações e setor público em infraestrutura de comando e controle distribuída, com abuso de desserialização, credenciais de IIS, RDP tunelado, ShadowPad e coleta de memória do lsass.exe.
| Componente | Cluster Ink Dragon, também rastreado como CL-STA-0049, Earth Alux ou REF7707, com uso de ShadowPad, módulo IIS Listener, FinalDraft e componentes de coleta de credenciais. |
| Vetor | Exploração de servidores web expostos, incluindo desserialização de ASP.NET __VIEWSTATE quando machineKey pública ou reutilizada permite assinatura forjada, além de exploração ToolShell em SharePoint on-premises. |
| Impacto | Execução remota de código, obtenção de credenciais de aplicação IIS, movimentação lateral por RDP e SMB, domínio do Active Directory e conversão de vítimas em nós de retransmissão para outras intrusões. |
| Prioridade | Revisar servidores IIS e SharePoint expostos, remover chaves ASP.NET previsíveis, corrigir SharePoint vulnerável, auditar credenciais de app pool, procurar módulos IIS anômalos e investigar tráfego HTTP(S) com função de proxy. |
| Versões | ToolShell é descrita como cadeia que envolve CVE-2025-49706, CVE-2025-53771, CVE-2025-49704 e CVE-2025-53770 em Microsoft SharePoint on-premises vulnerável. |
| Artefatos | w3wp.exe, HttpAddUrl, DLL.dll, conhost.exe, cdb.exe, config.ini, wmsetup.log, lals.exe, fdp.dll, nfdp.dll, rtu.txt, AddSecurityPackageA, Tom, MiniDumpWriteDump, MsMpEng.exe e arquivos .ddt. |
Ink Dragon é um cluster de espionagem mantido desde pelo menos o início de 2023 e associado por diferentes fornecedores a interesses alinhados à República Popular da China. A atividade observada prioriza organizações governamentais, telecomunicações e infraestrutura pública. O foco inicial concentrou-se no Sudeste Asiático e na América do Sul, mas a operação também passou a aparecer em ambientes europeus e em outras regiões. A característica operacional mais importante é a combinação entre exploração de servidores web expostos, abuso de ferramentas nativas do Windows e implantação de módulos que fazem o tráfego malicioso parecer parte da operação normal de IIS, RDP, SMB e serviços administrativos internos.
A campanha não se limita à instalação de um backdoor em uma vítima isolada. Servidores comprometidos são reutilizados como pontos de retransmissão para ShadowPad, permitindo que uma organização invadida funcione como ponte de comunicação para implantes ativos em outras redes. Esse desenho reduz a exposição da infraestrutura real de comando e controle, dificulta bloqueios baseados em endereço IP e cria uma malha operacional em que cada novo perímetro comprometido pode servir como salto adicional. Para defesa, o aspecto crítico é tratar servidores IIS e SharePoint expostos não apenas como ativos exploráveis, mas como possíveis nós de infraestrutura adversária dentro e fora da organização.
A intrusão começa em aplicações web expostas. Em ambientes ASP.NET, o vetor confirmado envolve desserialização de __VIEWSTATE quando a aplicação utiliza uma machineKey ou DecryptionKey conhecida, publicada ou reutilizada. Com a chave correta, o invasor consegue gerar uma assinatura válida para um payload ViewState forjado; o servidor aceita o objeto como legítimo e executa a cadeia de desserialização, resultando em execução remota de código. Em outros casos, a operação abusou da cadeia ToolShell em SharePoint on-premises, que combina bypass de autenticação e desserialização insegura para execução não autenticada e possível implantação de web shell. A varredura em massa de ToolShell foi observada em julho de 2025, durante ondas iniciais de exploração.
Após obter execução no servidor web, o operador passa de w3wp.exe para controle local mais amplo usando segredos do próprio ambiente IIS. Chaves de máquina, configurações criptografadas, senhas de app pool e contas de serviço podem permitir decriptação de credenciais armazenadas localmente ou reutilizadas entre servidores irmãos. Quando a mesma conta administra múltiplos nós de uma fazenda web, uma única credencial de IIS vira caminho de movimentação lateral com pouco ruído de rede. O operador então cria canais persistentes, incluindo túneis de RDP e tarefas agendadas, e usa protocolos nativos para copiar uma tríade de carga: executável, DLL maliciosa e blob criptografado, frequentemente renomeados para parecerem binários do Windows ou componentes assinados por fornecedores legítimos.
O módulo IIS Listener do ShadowPad é o ponto que diferencia a campanha. Ele registra prefixos HTTP(S) com HttpAddUrl, inclusive padrões com curingas, e intercepta requisições que combinam com sua configuração. Requisições comuns são encaminhadas para conteúdo legítimo, como diretórios equivalentes a C:\\inetpub\\wwwroot, páginas de erro compatíveis com IIS e cabeçalhos como Microsoft-IIS/10.0. Requisições maliciosas passam por decriptação e validação de estrutura proprietária. Quando aceitas, o mesmo componente pode executar comandos locais ou classificar pares remotos como clientes e servidores, emparelhando conexões para retransmitir dados entre elas sem processamento adicional.
A superfície de pós-exploração inclui ShadowPad por sideloading, FinalDraft para comando e controle resiliente, execução por depurador Microsoft e coleta de credenciais. Em uma técnica observada, cdb.exe é iniciado com -cf apontando para config.ini; o arquivo contém comandos de escrita em memória e alteração do ponteiro de instrução para desviar a execução para shellcode. Esse shellcode lê wmsetup.log, decripta o conteúdo com chave AES embutida e carrega a carga real na memória. Para credenciais, a cadeia LalsDumper usa lals.exe, modifica fdp.dll, grava nfdp.dll e chama AddSecurityPackageA para registrar um SSP carregado por lsass.exe. A função Tom aciona a criação de dump compactado do processo, escrito como arquivo .ddt, com uso de syscalls diretas resolvidas por hash para reduzir a visibilidade de hooks de EDR.
A exposição principal está em servidores IIS e SharePoint acessíveis pela internet, especialmente quando há chaves ASP.NET previsíveis, segredos reaproveitados, SharePoint on-premises vulnerável ou contas de app pool com permissões excessivas. O risco aumenta em fazendas web que compartilham credenciais administrativas, pois o comprometimento de um host permite autenticação lateral em outros servidores com aparência de administração normal. A campanha também explorou a visibilidade de sessões administrativas e a disponibilidade de RDP para avançar até ativos internos e, em casos investigados, alcançar contas de administrador de domínio.
Também ficam expostos controles de rede baseados em perímetro. O operador alterou regras locais de firewall para permitir tráfego de saída amplo, inclusive regra com nome semelhante a software legítimo, como Microsoft MsMpEng, associada a MsMpEng.exe em contexto SYSTEM. Como a regra é local e não necessariamente criada por GPO, ela pode escapar de revisões centradas apenas em política de domínio. Em servidores que executam o IIS Listener, a máquina afetada passa a ter dois papéis: backdoor local com comandos de reconhecimento, arquivo, processo, serviço e rede; e ponte de retransmissão para tráfego entre clientes e servidores ShadowPad externos ou internos.
- Servidores ASP.NET com
machineKeyouDecryptionKeypublicadas, previsíveis, copiadas de exemplos ou reutilizadas entre aplicações. - Instâncias Microsoft SharePoint on-premises expostas e vulneráveis à cadeia ToolShell envolvendo
CVE-2025-49706,CVE-2025-53771,CVE-2025-49704eCVE-2025-53770. - Fazendas IIS que reutilizam contas de app pool, contas de serviço ou credenciais administrativas entre múltiplos servidores.
- Hosts com RDP acessível a partir de túneis internos, compartilhamentos SMB graváveis e permissões suficientes para criação de serviços ou tarefas agendadas.
- Servidores com módulos, listeners HTTP(S), regras de firewall locais e binários mascarados que não correspondem ao inventário operacional aprovado.
A caça deve começar pelos servidores de borda. Em IIS, é necessário correlacionar logs de requisições com inventário de módulos, bindings HTTP(S), prefixos registrados no sistema e comportamento do processo w3wp.exe. O módulo malicioso tenta preservar a experiência legítima do site, portanto a ausência de erro visível ao usuário não elimina comprometimento. Requisições com payloads POST incomuns, variações anômalas de __VIEWSTATE, erros de desserialização, picos de tráfego para caminhos pouco usados e conexões persistentes de origem externa para endpoints sem relação com a aplicação devem ser analisados em conjunto com alterações recentes em arquivos, DLLs e configuração de IIS.
Em endpoint, procure execução de binários com nomes comuns, mas metadados incompatíveis. A operação usou executáveis renomeados, como conhost.exe, e arquivos assinados por fornecedores legítimos cujo OriginalFileName divergia do nome em disco. A tríade de sideloading, com EXE, DLL.dll e arquivo TMP criptografado, é particularmente importante em diretórios graváveis, perfis públicos e compartilhamentos administrativos. Eventos de criação de serviço, tarefa agendada, cópia por SMB e início de RDP logo após exploração web formam sequência forte de comprometimento.
A telemetria de credenciais deve cobrir LSASS e SSPs. Chamadas a AddSecurityPackageA, carga de DLL não autorizada em lsass.exe, criação de arquivos .ddt em diretórios temporários e artefatos lals.exe, fdp.dll, nfdp.dll e rtu.txt exigem resposta imediata. A cadeia evita APIs convencionais de dump, portanto detecções baseadas apenas em MiniDumpWriteDump podem falhar. Monitore syscalls diretas, arquivos ZIP-like anômalos com conteúdo de memória, leitura intensiva de lsass.exe e processos que escrevem dumps com nomes derivados de PID.
- Eventos de IIS com
__VIEWSTATEvolumoso, inválido ou fora do padrão normal da aplicação, principalmente antes de execução de processos filhos porw3wp.exe. - Prefixos HTTP(S) registrados dinamicamente por processos inesperados, uso de
HttpAddUrlfora de componentes aprovados e listeners com curingas para host ou caminho. - Execução de
cdb.execom-cf, presença deconfig.inicom comandos de escrita em memória e leitura dewmsetup.logpor processo de depuração. - Criação local de regra de firewall permissiva, especialmente regra semelhante a
Microsoft MsMpEngpermitindo tráfego de saídaAnyparaAny. - Sideloading com
DLL.dll, blobs criptografados temporários, apagamento rápido de payloads e divergência entre nome em disco, assinatura digital eOriginalFileName. - Conexões RDP tuneladas, sessões interativas com nomes de máquina externos e uso de SMB para propagar EXE, DLL e arquivo criptografado entre servidores.
A contenção deve priorizar os servidores expostos e os ativos que tiveram papel de retransmissão. Remova imediatamente da internet instâncias IIS e SharePoint suspeitas, preserve memória, módulos carregados, configuração de IIS, lista de prefixos HTTP(S), regras locais de firewall, tarefas agendadas, serviços e cópias de arquivos antes de reinstalar ou limpar. Em incidentes desse tipo, apagar apenas a DLL ou reiniciar o serviço pode destruir evidência sem remover domínio do atacante, porque credenciais de app pool, contas administrativas e sessões RDP podem já ter sido usadas para alcançar outros hosts.
A correção exige eliminar as pré-condições do ataque. Gere novas machineKey e DecryptionKey por aplicação, sem reutilização entre ambientes; retire chaves copiadas de exemplos públicos; aplique correções de SharePoint on-premises para a cadeia ToolShell; revise privilégios de contas de app pool; bloqueie uso interativo dessas contas; e substitua credenciais compartilhadas entre servidores. Para Active Directory, trate qualquer dump de lsass.exe ou carga de SSP não autorizada como comprometimento de credenciais de alto impacto, com rotação de senhas, revogação de sessões, revisão de tickets e validação de contas privilegiadas.
Na rede, limite saída de servidores web ao necessário, aplique controles egress por destino e protocolo, alerte para regras locais de firewall que ampliem tráfego e bloqueie RDP lateral entre zonas sem justificativa operacional. O modelo de retransmissão do ShadowPad significa que conexões para outras entidades governamentais, provedores ou organizações conhecidas não devem ser automaticamente consideradas confiáveis. A validação final deve incluir busca por listeners ocultos, comparação de binários com inventário de software, análise de memória para ShadowPad e FinalDraft, e reconstrução de fluxos para identificar se a organização atuou como nó de comando e controle para terceiros.
- Aplicar correções de Microsoft SharePoint on-premises relacionadas a ToolShell e validar exposição externa após a atualização.
- Rotacionar
machineKey,DecryptionKey, credenciais de app pool, contas de serviço IIS e senhas reutilizadas em fazendas web. - Auditar módulos IIS, bindings HTTP(S), prefixos registrados via API, regras locais de firewall, serviços, tarefas agendadas e diretórios graváveis usados por administradores.
- Isolar servidores com sinais de ShadowPad, coletar memória e disco, e procurar
DLL.dll, TMP criptografado,cdb.exe,config.ini,wmsetup.log,lals.exe,fdp.dll,nfdp.dll,rtu.txte arquivos.ddt. - Revisar contas privilegiadas e controladores de domínio quando houver RDP lateral, dump de
lsass.exe, criação de SSP ou evidência de domínio do Active Directory. - Criar detecções para tráfego de retransmissão HTTP(S), conexões persistentes entre pares incomuns e logs de depuração que registrem origem, destino e tamanho de payload encaminhado.
0 Comentários