UnsolicitedBooker mira telecomunicações da Ásia Central com backdoors LuciDoor e MarsSnake

Campanha contra organizações no Quirguistão e no Tajiquistão usa phishing, documentos do Microsoft Office, macros e loaders em C++ para implantar backdoors voltados a espionagem e controle remoto.

Componente	Cluster UnsolicitedBooker, backdoors `LuciDoor` e `MarsSnake`, loaders `LuciLoad` e `MarsSnakeLoader`, documentos do Microsoft Office e atalhos Windows disfarçados de documentos.
Vetor	E-mails de phishing enviados a empresas de telecomunicações e organizações no Quirguistão e no Tajiquistão, com anexos do Microsoft Office ou links para documentos isca que induzem a ativação de conteúdo macro.
Impacto	`LuciDoor` coleta informações básicas do sistema, comunica-se com servidor C2, envia dados em formato criptografado e processa respostas para executar comandos, gravar arquivos e fazer upload; `MarsSnake` permite coleta de metadados, execução de comandos arbitrários e leitura ou escrita de arquivos no disco.
Prioridade	Restringir macros em documentos recebidos por e-mail, inspecionar documentos isca, caçar execução anômala de scripts, atalhos `.lnk` disfarçados, loaders em C++ e comunicações C2 associadas a endpoints de telecomunicações.
Artefatos	Foram observados documentos Office com plano tarifário como isca, loader `LuciLoad`, loader `MarsSnakeLoader`, atalho Windows com extensão visual `*.doc.lnk`, script em lote, Visual Basic Script e pelo menos um roteador comprometido usado como servidor C2.
Atribuição	O cluster é avaliado como alinhado à China, com histórico desde pelo menos março de 2023 e vítimas em países da Ásia, África e Oriente Médio; há sobreposições táticas com Space Pirates e com uma campanha que usou o backdoor `Zardoor`.

Resumo técnico

O cluster UnsolicitedBooker foi observado em uma mudança de foco operacional para empresas de telecomunicações na Ásia Central, com atividade contra organizações no Quirguistão e no Tajiquistão. A campanha amplia um histórico que já incluía alvos na Arábia Saudita e em outros países da Ásia, África e Oriente Médio. O conjunto de evidências aponta para operações de espionagem conduzidas por e-mail de phishing, documentos isca e backdoors desenvolvidos em C++ para coleta de informações, execução remota de comandos e manipulação de arquivos no sistema comprometido.

A atividade mais recente envolve dois backdoors distintos, LuciDoor e MarsSnake, implantados por loaders separados. Em ataques contra organizações quirguizes no fim de setembro de 2025, o operador enviou documentos do Microsoft Office que exibiam ao usuário um plano tarifário de uma operadora de telecomunicações. A interação esperada da vítima era habilitar conteúdo ativo no documento, o que permitia que a macro executasse a etapa maliciosa. Em outra onda observada no fim de novembro de 2025, a lógica geral foi preservada, mas o operador trocou o componente intermediário por MarsSnakeLoader para entregar MarsSnake.

Em janeiro de 2026, a cadeia voltou a aparecer contra empresas no Tajiquistão. A diferença operacional foi o uso de links embutidos em mensagens de phishing para levar a documentos isca, em vez do envio direto do arquivo como anexo. Essa variação reduz a dependência de anexos visíveis na mensagem e desloca parte da detecção para controles de navegação, filtragem de URL, análise de documentos baixados e correlação entre clique em link, abertura de arquivo Office e criação de processos filhos incomuns.

Fluxo técnico

A cadeia baseada em documento começa com um artefato do Microsoft Office construído para parecer relevante ao setor de telecomunicações. A isca não é apenas decorativa: ela dá coerência ao conteúdo exibido e aumenta a chance de o destinatário aceitar a solicitação para habilitar conteúdo ativo. Quando a macro é executada, ela solta no sistema o loader em C++ LuciLoad, responsável por entregar o backdoor LuciDoor. O ponto crítico para defesa é a transição entre documento, macro e execução de binário, pois esse encadeamento tende a produzir sinais em endpoint, EDR, logs de processo e controles de política do Office.

LuciDoor, também escrito em C++, estabelece comunicação com um servidor de comando e controle, coleta informações básicas do sistema e envia os dados de forma criptografada. Depois dessa etapa inicial, o backdoor interpreta respostas do servidor para acionar capacidades de pós-comprometimento. O material analisado confirma execução de comandos por meio de comando operacional omitido, gravação de arquivos no sistema e upload de arquivos. O impacto, portanto, deve ser tratado como controle remoto com capacidade de coleta e alteração de arquivos, sem presumir efeitos não descritos, como movimentação lateral ou vazamento massivo de dados.

MarsSnake fornece um conjunto de capacidades semelhante, com coleta de metadados do sistema, execução arbitrária de comandos e leitura ou escrita de qualquer arquivo no disco. A campanha de novembro de 2025 manteve a abordagem de phishing e documento isca, mas substituiu o loader por MarsSnakeLoader. Essa mudança indica que o operador mantém múltiplas opções de implantação e pode alternar ferramentas sem alterar profundamente a fase inicial. Para detecção, isso exige olhar para comportamentos e relações de processo, e não apenas para nomes de arquivos ou hashes específicos.

Também há indícios de uso de MarsSnake em ataques contra a China com uma cadeia inicial diferente. Nesse caso, o ponto de partida foi um atalho Windows disfarçado de documento do Microsoft Word, com aparência *.doc.lnk. O atalho aciona um script em lote, que por sua vez inicia um Visual Basic Script e carrega MarsSnake sem o componente loader. O arquivo isca teria características associadas a um artefato criado por ferramenta pública de teste de intrusão, incluindo tempo de criação do LNK e identificador de máquina, e um LNK semelhante já havia aparecido em ataques contra a Tailândia em 2022 atribuídos a Mustang Panda.

Superfície afetada

A superfície mais exposta é composta por organizações de telecomunicações e entidades que recebem documentos comerciais, regulatórios ou operacionais por e-mail. O uso de um plano tarifário como conteúdo isca mostra adaptação ao setor e reduz a aparência genérica da mensagem. Ambientes onde macros ainda podem ser habilitadas por usuários, onde documentos externos não passam por sandboxing e onde downloads originados de links em e-mail não são correlacionados com execução local ficam mais vulneráveis à cadeia descrita.

O histórico do cluster inclui vítimas em países como Argélia, Bélgica, Egito, Índia, Mongólia, Arábia Saudita e Taiwan, além dos alvos recentes no Quirguistão e no Tajiquistão. Os tipos de vítima observados incluem ministérios governamentais, provedores de telecomunicações e profissionais jurídicos. Esse padrão torna a campanha relevante para equipes que protegem setores com valor diplomático, regulatório, jurídico e de infraestrutura de comunicações.

A atribuição é tratada como alinhamento à China com base em táticas, vitimologia e dados não públicos mencionados no material analisado. Também há referências ao uso de ferramentas compartilhadas entre múltiplos grupos alinhados à China, incluindo Chinoxy, Deed RAT, Poison Ivy e BeRAT. Esses nomes ajudam a contextualizar o ecossistema de ferramentas, mas não devem ser usados isoladamente como prova de autoria em um ambiente comprometido.

Empresas de telecomunicações no Quirguistão e no Tajiquistão foram alvos diretos da campanha mais recente.
Documentos Office com macros e links para documentos isca são pontos centrais da superfície de entrada.
Atalhos .lnk disfarçados de documentos, scripts em lote e Visual Basic Script aparecem como alternativa de execução para MarsSnake.
Pelo menos um caso envolveu roteador comprometido usado como servidor C2, o que pode dificultar a classificação inicial da infraestrutura.

Hunting e telemetria

A investigação defensiva deve começar por mensagens de phishing recebidas por usuários de áreas comerciais, regulatórias, jurídicas e técnicas em telecomunicações. O encadeamento esperado envolve recebimento de e-mail, abertura de documento Office, tentativa de habilitar macro, criação de processo filho e execução de loader ou script. Em ambientes com logs de endpoint, vale correlacionar documentos recém-baixados ou anexos abertos com execução posterior de binários temporários, comando operacional omitido, scripts em lote e Visual Basic Script.

Para LuciDoor, a telemetria de rede deve priorizar conexões iniciadas logo após a execução do documento ou loader, especialmente quando acompanhadas de coleta de dados do host e tráfego criptografado para destinos não reconhecidos. O contexto não fornece domínios, endereços IP ou hashes, portanto a caça deve se basear em comportamento: beaconing após abertura de documento, upload de dados do host, respostas de C2 que resultam em comandos locais e criação ou modificação de arquivos fora do padrão do usuário.

Para MarsSnake, a capacidade de ler e escrever qualquer arquivo no disco aumenta a importância de monitorar acessos incomuns a diretórios de usuário, áreas de configuração, compartilhamentos locais e locais onde documentos sensíveis são armazenados. Como a cadeia pode dispensar loader quando usa LNK, a ausência de um componente intermediário conhecido não deve encerrar a triagem. O caminho com .doc.lnk, script em lote e Visual Basic Script merece atenção especial em gateways de e-mail, proxy, EDR e registros de execução de scripts.

Documento Office externo seguido por solicitação de habilitação de macro e criação de processo filho.
Execução de comando operacional omitido em contexto de usuário logo após abertura de documento ou link de e-mail.
Arquivo .lnk com aparência de documento Word e cadeia posterior envolvendo script em lote e Visual Basic Script.
Comunicação de host recém-comprometido com destino C2 desconhecido, inclusive infraestrutura que possa parecer roteador residencial ou equipamento comprometido.
Gravação, leitura ou upload de arquivos após execução de LuciDoor ou MarsSnake.

Mitigação

A prioridade defensiva é reduzir a probabilidade de execução da primeira etapa. Isso envolve bloquear ou restringir macros em documentos vindos da internet, aplicar políticas de visualização protegida, submeter anexos e arquivos baixados por links a análise dinâmica e impedir que documentos Office iniciem processos de script, shells ou binários não aprovados. Como a campanha usa iscas específicas do setor, treinamento genérico contra phishing deve ser complementado por controles técnicos que não dependam apenas da decisão do usuário.

Em resposta a alerta ou suspeita, a contenção deve preservar artefatos do documento, processos criados, arquivos gravados, conexões de rede e histórico de e-mail. Sistemas com sinais compatíveis precisam ser isolados de forma controlada para impedir continuidade de comando e controle, enquanto a equipe valida se houve execução de comando, gravação de arquivos ou upload. Não há base no contexto para presumir exploração ativa de vulnerabilidade em software específico como etapa principal da campanha de UnsolicitedBooker; o vetor confirmado é engenharia social com documentos e links de phishing.

Também é importante revisar equipamentos de rede e infraestrutura intermediária quando a telemetria indicar C2 em ativos aparentemente legítimos. O uso de um roteador comprometido como servidor C2 mostra que reputação genérica de endereço ou geolocalização pode ser insuficiente. A defesa deve combinar reputação, comportamento, frequência de conexão, relação temporal com execução local e comparação com padrões normais da organização.

Bloquear macros de documentos recebidos da internet e auditar exceções existentes.
Impedir que Office, scripts em lote e Visual Basic Script iniciem shells ou binários fora de caminhos autorizados.
Correlacionar e-mails de phishing, cliques em links, downloads de documentos e criação de processos no endpoint.
Isolar hosts com execução compatível com LuciLoad, MarsSnakeLoader, LuciDoor ou MarsSnake e preservar evidências para análise.
Revisar comunicações de saída para destinos incomuns, inclusive infraestrutura que possa representar roteador comprometido usado como C2.

Atividades relacionadas

O contexto também descreve outros movimentos de ameaça contra organizações russas, sem indicar ligação direta com UnsolicitedBooker. Um cluster chamado PseudoSticky está ativo desde novembro de 2025 e imita deliberadamente táticas de um grupo pró-Ucrânia conhecido como Sticky Werewolf, também referido como Angry Likho, MimiStick e PhaseShifters. As vítimas citadas estão nos setores de varejo, construção e pesquisa, com infecções por e-mails de phishing e anexos maliciosos que levam a RemcosRAT e DarkTrack RAT para roubo abrangente de dados e controle remoto.

A análise disponível aponta diferenças de infraestrutura, implementação de malware e elementos táticos entre PseudoSticky e o grupo imitado, o que sustenta a hipótese de mimetismo deliberado em vez de continuidade operacional direta. Há ainda indicação de uso de modelos de linguagem para desenvolver cadeias que entregam DarkTrack RAT por meio de PureCrypter. Para defesa, esse ponto reforça a necessidade de não atribuir campanhas apenas por aparência de isca, tema político ou semelhança superficial de TTP.

Outro grupo citado, Cloud Atlas, também teria mirado entidades russas com e-mails de phishing e documentos Word maliciosos. A cadeia descrita carrega um modelo remoto a partir de C2 especificado em um fluxo do documento, explora CVE-2018-0802 e segue com o download de arquivo malicioso com fluxos alternativos, levando ao malware VBShower; o contexto também menciona VBCloud. Essa atividade é separada da campanha principal, mas mostra que documentos Office continuam sendo vetor recorrente em operações de espionagem e controle remoto.

PseudoSticky usa phishing com anexos maliciosos para entregar RemcosRAT e DarkTrack RAT contra setores russos de varejo, construção e pesquisa.
A campanha PseudoSticky parece imitar Sticky Werewolf, mas há diferenças de infraestrutura, malware e elementos táticos.
Cloud Atlas usa documentos Word maliciosos, modelo remoto e exploração de CVE-2018-0802 para entregar VBShower.

UnsolicitedBooker mira telecomunicações da Ásia Central com backdoors LuciDoor e MarsSnake

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

UnsolicitedBooker mira telecomunicações da Ásia Central com backdoors LuciDoor e MarsSnake

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato