A cadeia prepara um runtime Java portátil, executa um arquivo JAR malicioso, cria persistência no Windows e conecta o host a um servidor C2 para controle remoto, exfiltração e entrega de novos payloads.
| Componente | Utilitários de jogos trojanizados, downloader malicioso, runtime Java portátil, arquivo jd-gui.jar e componentes RAT em hosts Windows. |
| Vetor | Usuários são induzidos a executar ferramentas de jogos adulteradas distribuídas por navegadores e plataformas de chat; a cadeia usa PowerShell e binários legítimos do Windows como cmstp.exe para execução discreta. |
| Impacto | O RAT atua como loader, runner, downloader e ferramenta de acesso remoto, permitindo comunicação C2 com 79.110.49[.]15, exfiltração de dados e implantação de payloads adicionais. |
| Prioridade | Auditar exclusões do Microsoft Defender, tarefas agendadas e scripts de inicialização; remover persistência maliciosa, isolar endpoints afetados e redefinir credenciais de usuários ativos em máquinas comprometidas. |
| Artefatos | Arquivo JAR jd-gui.jar, script de inicialização world.vbs, uso de cmstp.exe, tarefas agendadas e exclusões indevidas no Microsoft Defender. |
| Ameaças relacionadas | Steaelite, DesckVB RAT e KazakRAT aparecem como famílias RAT recentes com foco em controle remoto de hosts Windows e implantação seletiva de capacidades pós-comprometimento. |
Uma campanha de malware está usando ferramentas de jogos trojanizadas como isca para fazer usuários executarem uma cadeia de infecção baseada em Java. A distribuição ocorre por navegadores e plataformas de chat, o que indica um fluxo dependente de interação humana e confiança social: o usuário recebe ou encontra um utilitário aparentemente relacionado a jogos, executa o conteúdo adulterado e permite que o downloader prepare os componentes seguintes no host Windows. O ponto técnico central é a combinação de um runtime Java portátil com um arquivo JAR malicioso chamado jd-gui.jar, reduzindo a dependência de uma instalação Java prévia no sistema comprometido.
Depois da execução inicial, a cadeia tenta reduzir a visibilidade operacional. O downloader usa PowerShell e binários legítimos do Windows, incluindo cmstp.exe, como parte da execução discreta. Em seguida, remove o downloader inicial e configura exclusões no Microsoft Defender para os componentes do RAT. Essa combinação cria dois problemas para a defesa: a origem da infecção pode desaparecer rapidamente do disco, e os artefatos restantes podem ficar fora de varreduras locais se as exclusões forem aceitas sem revisão. O payload final é descrito como malware multiuso, com funções de loader, runner, downloader e RAT.
A persistência ocorre por tarefa agendada e por um script de inicialização chamado world.vbs. Uma vez ativo, o malware estabelece comunicação com o servidor externo 79.110.49[.]15, usado como canal de comando e controle. Esse canal permite controle remoto, exfiltração de dados e entrega de payloads adicionais, mas o impacto deve ser tratado dentro desses limites confirmados: não há base, neste material, para inferir exploração de vulnerabilidade, movimento lateral ou vazamento público de dados além da capacidade de exfiltração mencionada.
O fluxo começa com a execução de um utilitário de jogos adulterado. A cadeia prepara um runtime Java portátil e usa esse ambiente para iniciar o arquivo jd-gui.jar. A escolha de um runtime portátil é relevante para caça e resposta porque desloca a dependência para dentro do próprio pacote malicioso: mesmo máquinas sem Java instalado podem processar o payload se o runtime for colocado junto à carga. Para defensores, isso torna suspeita a presença de diretórios Java inesperados em caminhos de usuário, temporários, downloads ou áreas associadas a aplicativos de chat e navegador.
A etapa de execução usa PowerShell e binários legítimos do sistema operacional. O uso de cmstp.exe se encaixa em uma técnica de abuso de ferramentas nativas, na qual componentes assinados ou esperados do Windows participam da cadeia para dificultar bloqueios baseados apenas em reputação de binário. A matéria não traz comandos completos nem parâmetros específicos, portanto a análise defensiva deve se concentrar no encadeamento: ferramenta de jogos recém-obtida, criação de runtime Java portátil, execução de JAR, processo PowerShell associado e chamada a binário legítimo fora de um fluxo administrativo normal.
A cadeia também tenta se proteger contra resposta rápida. A exclusão do downloader inicial reduz a chance de recuperação do primeiro estágio durante uma investigação tardia. A criação de exclusões no Microsoft Defender para os componentes do RAT pode impedir detecção local de arquivos já presentes. A persistência por tarefa agendada e script world.vbs indica que a execução não depende apenas da sessão inicial do usuário. Em reinicializações ou novos logons, o ambiente pode reativar o malware e restabelecer o controle remoto.
Após a persistência, o payload final opera como um RAT multiuso. As funções descritas incluem carregamento, execução, download de payloads e acesso remoto. A conexão com 79.110.49[.]15 é o principal indicador de rede fornecido. Como a infraestrutura maliciosa pode mudar, a defesa não deve depender apenas desse endereço; o valor está em correlacionar comunicação externa incomum com alterações locais em Defender, tarefas agendadas, scripts de inicialização e artefatos Java sem origem corporativa conhecida.
A superfície exposta é formada principalmente por endpoints Windows usados por pessoas que baixam ou recebem utilitários de jogos fora de canais confiáveis. O material não delimita versões específicas do Windows para a campanha principal, mas os artefatos citados são próprios de ambientes Windows com Microsoft Defender, PowerShell, tarefas agendadas e suporte à execução de scripts de inicialização. Ambientes corporativos que permitem execução por usuários comuns em diretórios de perfil, download de anexos por chat e instalação informal de ferramentas de entretenimento ficam mais expostos ao fluxo observado.
O risco operacional aumenta quando exclusões do Defender podem ser criadas sem controle ou quando tarefas agendadas são pouco monitoradas. Em estáções compartilhadas, máquinas de usuários com privilégios elevados ou endpoints fora de gerenciamento central, uma cadeia desse tipo pode permanecer ativa tempo suficiente para coletar dados e receber payloads adicionais. O fato de o malware ser baseado em Java não torna o ataque multiplataforma neste contexto; os artefatos de persistência e defesa citados apontam para Windows.
O mesmo cenário aparece em um ecossistema mais amplo de RATs recentes. Steaelite foi anunciado em fóruns criminosos em novembro de 2025 como um RAT para Windows com alegações de baixa detecção e compatibilidade com Windows 10 e 11. O painel combina roubo de dados e ransomware em uma interface web e inclui recursos como keylogging, chat entre operador e vítima, busca de arquivos, propagação por USB, alteração de papel de parede, bypass de UAC, clipper, remoção de malware concorrente, desativação ou exclusão no Microsoft Defender e persistência. Também foram citadas famílias DesckVB RAT e KazakRAT, com controle remoto abrangente e implantação seletiva de capacidades após o comprometimento.
- Endpoints Windows onde usuários executam utilitários de jogos baixados por navegador ou recebidos por plataformas de chat.
- Ambientes com permissões locais suficientes para alterar exclusões do Microsoft Defender, criar tarefas agendadas ou gravar scripts de inicialização.
- Perfis de usuário com diretórios de download, caches de navegador e áreas de aplicativos de chat que aceitam binários, arquivos compactados ou pacotes Java.
- Máquinas com comunicação externa não filtrada, permitindo contato com infraestrutura C2 como
79.110.49[.]15.
A investigação deve começar pela linha do tempo do endpoint. Procure a sequência de download ou recebimento do utilitário de jogos, criação de runtime Java portátil, execução do jd-gui.jar, processos PowerShell próximos no tempo e uso de cmstp.exe em contexto não administrativo. A correlação é mais forte que qualquer sinal isolado: Java pode ser legítimo, PowerShell pode ser administrativo e cmstp.exe existe no Windows, mas a combinação após um download de ferramenta de jogos é um padrão de risco claro.
No host, a telemetria mais importante envolve alterações em Microsoft Defender, tarefas agendadas e inicialização do usuário. Exclusões recém-criadas devem ser revisadas com atenção quando apontam para caminhos de perfil, diretórios temporários, pastas de download, nomes relacionados ao pacote suspeito ou componentes Java inesperados. Tarefas agendadas criadas no mesmo intervalo da execução inicial devem ser validadas pelo comando acionado, usuário criador e caminho de destino, sem publicar ou reutilizar o conteúdo operacional do comando. O script world.vbs é um artefato direto para busca em disco, inventário EDR e coleta forense.
Na rede, o endereço 79.110.49[.]15 deve ser tratado como indicador defangado para consulta em logs de proxy, DNS, firewall, EDR e NDR, respeitando retenção e escopo. A ausência desse endereço não elimina a infecção, porque o operador pode alterar infraestrutura; por isso, monitore conexões externas logo após a execução de JARs incomuns, processos Java em diretórios de usuário e endpoints com mudanças simultâneas de Defender. Para RATs como Steaelite, a telemetria deve abranger acesso a arquivos, enumeração de programas, clipboard, câmera, microfone, execução arbitrária de arquivos, abertura de URLs e comportamentos compatíveis com preparação de ransomware, sempre sem reproduzir funcionalidades ofensivas.
- Execução de
jd-gui.jara partir de diretórios de usuário, downloads, temporários ou caminhos associados a aplicativos de chat. - Criação de runtime Java portátil junto de utilitários de jogos ou em locais sem gestão de software corporativa.
- Processos PowerShell próximos à execução do pacote suspeito e chamada de
cmstp.exefora de rotinas administrativas aprovadas. - Exclusões novas ou alteradas no Microsoft Defender para caminhos relacionados ao RAT, ao runtime Java portátil ou ao pacote baixado.
- Tarefas agendadas recentes e presença do script
world.vbsem locais de inicialização. - Conexões para
79.110.49[.]15ou comunicação externa incomum originada de processos Java ou scripts de inicialização.
A resposta deve priorizar contenção do endpoint e preservação de evidências suficientes para entender a cadeia. Máquinas com sinais da sequência descrita devem ser isoladas da rede antes da remoção, especialmente quando houver conexão C2, alteração de exclusões do Defender ou persistência ativa. Em seguida, revise exclusões do Microsoft Defender e remova entradas que não tenham justificativa operacional comprovada. A validação deve incluir políticas locais e políticas centralizadas, porque exclusões maliciosas podem permanecer mesmo depois da exclusão de arquivos visíveis.
Depois da contenção, remova tarefas agendadas e scripts de inicialização associados ao fluxo, incluindo world.vbs quando identificado. Apague componentes do RAT, runtime Java portátil não autorizado e arquivos vinculados ao utilitário de jogos trojanizado apenas após a coleta forense necessária. A redefinição de credenciais deve abranger usuários que estavam ativos no host comprometido, pois o RAT tem capacidade de exfiltração e famílias relacionadas, como Steaelite, incluem roubo de senhas e monitoramento de clipboard. A rotação deve ser acompanhada por invalidação de sessões quando aplicável.
A prevenção exige reduzir o caminho de execução inicial. Bloqueie ou controle downloads de ferramentas de jogos em estáções corporativas, restrinja execução em diretórios graváveis por usuário, monitore arquivos JAR fora de inventário autorizado e aplique regras de controle de aplicação quando disponíveis. Em paralelo, trate PowerShell e binários nativos abusáveis como sinais contextuais: bloquear tudo pode ser inviável, mas alertas correlacionados com downloads recentes, runtime Java portátil e mudanças no Defender aumentam a precisão. A gestão de chat corporativo e navegador deve impedir que anexos ou links de origem desconhecida se convertam em execução local sem inspeção.
Para o cenário mais amplo de RATs recentes, a defesa deve assumir que painéis criminosos estão consolidando funções antes separadas: controle remoto, roubo de dados, vigilância, manipulação de arquivos e implantação de ransomware. Isso exige resposta integrada entre endpoint, identidade e rede. Ações de contenção local precisam ser acompanhadas de revisão de credenciais, busca por payloads adicionais, checagem de dados acessados e validação de backups. No caso de KazakRAT, o material aponta alvos cazaques e afegãos e uma campanha persistente desde pelo menos agosto de 2022; essa atribuição deve ser tratada como contexto de inteligência, não como indicador suficiente para mudar a resposta em ambientes sem relação com esses alvos.
- Isolar endpoints com execução suspeita de utilitários de jogos, JARs desconhecidos, exclusões indevidas no Defender ou comunicação C2.
- Auditar e remover exclusões do Microsoft Defender criadas para caminhos não autorizados ou componentes associados ao RAT.
- Remover tarefas agendadas maliciosas e scripts de inicialização, incluindo
world.vbsquando presente. - Redefinir credenciais de usuários ativos em hosts comprometidos e invalidar sessões quando houver risco de captura de senhas ou tokens de sessão.
- Revisar controles de execução para JARs, runtimes Java portáteis e binários baixados por navegador ou chat.
- Correlacionar logs de endpoint, rede e identidade para identificar payloads adicionais, exfiltração possível e persistência remanescente.
0 Comentários