CVE-2026-3502 afeta a validação do atualizador do cliente TrueConf para Windows e foi explorada contra órgãos governamentais no Sudeste Asiático por meio de servidores locais comprometidos.
| Componente | Mecanismo de atualização do cliente TrueConf para Windows em implantações com servidor TrueConf local. |
| Vetor | Controle prévio do servidor TrueConf on-premises permite substituir o instalador esperado em C:\Program Files\TrueConf Server\ClientInstFiles\ e entregá-lo aos clientes conectados quando há diferença de versão. |
| Impacto | Distribuição e execução de arquivos arbitrários nos endpoints que aceitam a atualização apresentada pelo cliente TrueConf; a campanha observada implantou uma cadeia com DLL side-loading, persistência e provável carga Havoc. |
| Prioridade | Atualizar o cliente TrueConf Windows para a versão 8.5.3 ou posterior, validar integridade de instaladores, revisar servidores locais TrueConf e caçar os artefatos de execução descritos. |
| Versões | A amostra analisada atualizava o cliente de 8.5.1 para 8.5.2; a correção foi incluída no cliente Windows a partir da versão 8.5.3, lançada em março de 2026. |
| Artefatos | trueconf_windows_update.exe, trueconf_windows_update.tmp, poweriso.exe, 7z-x64.dll, update.7z, 7za.exe, iscsiexe.dll, rom.dat e chave HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck. |
| IoCs | Hash MD5 22e32bcf113326e366ac480b077067cf para o update malicioso e endereços 43.134.90[.]60, 43.134.52[.]221 e 47.237.15[.]197 associados à infraestrutura Havoc. |
A vulnerabilidade CVE-2026-3502, com pontuação CVSS 7.8, afeta o fluxo de atualização do cliente TrueConf para Windows em ambientes que usam servidor TrueConf local. O problema está na ausência de verificação adequada de integridade e autenticidade do pacote oferecido pelo servidor central. Quando o cliente é iniciado, ele consulta o servidor TrueConf on-premises e, se identifica uma versão mais recente, apresenta ao usuário uma atualização baixada de https://{trueconf_server}/downlods/trueconf_client.exe. Esse arquivo corresponde ao conteúdo armazenado no servidor em C:\Program Files\TrueConf Server\ClientInstFiles\. Em uma implantação comprometida, esse ponto de confiança vira um canal de distribuição controlado pelo invasor.
A exploração observada não dependia de comprometer cada estáção individualmente. O requisito central era o controle do servidor TrueConf local, que atendia múltiplas entidades governamentais conectadas à mesma infraestrutura de videoconferência. Após substituir o pacote de atualização legítimo por um instalador armado, o operador induzia o lançamento do cliente TrueConf já instalado, possivelmente por meio de um link enviado ao alvo. O cliente apresentava o aviso de atualização, e a execução prosseguia dentro de um fluxo que o usuário e o endpoint tendiam a tratar como manutenção legítima do software.
A campanha recebeu o nome operacional TrueChaos e teve foco em entidades governamentais no Sudeste Asiático. A combinação de vitimologia, técnicas de execução, uso de DLL side-loading, infraestrutura em provedores como Alibaba Cloud e Tencent, além de comunicação com servidores associados a Havoc C2, sustenta atribuição com confiança moderada a um ator alinhado a interesses chineses. Essa atribuição deve ser tratada como avaliação analítica, não como prova técnica isolada, porque o conjunto descrito também admite hipóteses como compartilhamento de acesso, reaproveitamento de infraestrutura ou presença paralela de múltiplos operadores contra o mesmo alvo.
O ponto inicial da cadeia é a relação de confiança entre o cliente TrueConf e o servidor TrueConf local. Em ambientes on-premises, a plataforma pode operar dentro de uma rede privada, sem depender de conexão externa, característica comum em órgãos públicos, defesa, infraestrutura crítica e locais com exigência de autonomia de comunicação. Essa arquitetura reduz exposição direta à internet, mas concentra poder operacional no servidor central. Se esse servidor é comprometido, o mecanismo de atualização passa a fornecer código determinado pelo invasor aos clientes que confiam nele para receber versões novas do aplicativo.
No caso observado, o pacote baixado era um instalador criado com Inno Setup. Ele preservava funcionalidade legítima suficiente para atualizar o cliente TrueConf de 8.5.1 para 8.5.2, ao mesmo tempo em que gravava componentes adicionais em c:\programdata\poweriso\. Entre eles estavam um executável benigno poweriso.exe e uma biblioteca maliciosa 7z-x64.dll. A execução abusava de DLL side-loading: um binário legítimo carregava uma DLL posicionada pelo invasor, permitindo que o código malicioso fosse executado no contexto de um processo que aparentava normalidade operacional.
Depois da execução inicial, a DLL maliciosa serviu como base para ações manuais de reconhecimento, preparação do ambiente, persistência e obtenção de novos payloads. A cadeia incluiu o download de update.7z a partir de 47.237.15[.]197, contendo 7z.exe e iscsiexe.dll. Variantes adicionais do arquivo comprimido continham rom.dat, um arquivo 7z criptografado cujo conteúdo e finalidade não foram estabelecidos no material técnico disponível. A ferramenta iscsiexe.dll foi descrita como um componente simples voltado a persistência e elevação de privilégio, não como um backdoor completo.
A elevação de privilégio explorou abuso de iscsicpl.exe, binário legítimo do Windows relacionado ao Microsoft iSCSI Initiator Control Panel. A versão de 32 bits em SysWOW64 é autoelevada e pode ser manipulada por sequestro de ordem de busca de DLL para iscsiexe.dll. Ao alterar a variável de ambiente PATH do usuário atual para apontar para uma pasta controlada, o invasor influencia a resolução da DLL e força o carregamento do componente malicioso no processo elevado. O comando observado envolvia reg add "hkcu\environment" /v path /t REG_SZ /d "C:\users\ \appdata\local\temp" /f seguido da chamada a c:\windows\syswow64\iscsicpl.exe.
A superfície de risco principal está em organizações que operam TrueConf com servidor local e clientes Windows conectados a esse servidor. O modelo on-premises pode estar isolado da internet pública, mas a vulnerabilidade se materializa quando o servidor central deixa de ser confiável. Nesse cenário, todos os endpoints que usam o fluxo de atualização do servidor comprometido podem receber o mesmo pacote malicioso. O comprometimento escala lateralmente pela própria função administrativa do servidor, sem exigir exploração remota independente em cada estáção.
O caso observado envolveu um servidor operado por departamento governamental de tecnologia que atendia dezenas de entidades governamentais. Esse detalhe é relevante para avaliação de risco porque mostra que a fronteira administrativa do servidor não equivale necessariamente à fronteira organizacional dos impactos. Um único ativo de videoconferência compartilhado pode alcançar agências diferentes, redes segmentadas por função e usuários com níveis variados de privilégio. A exposição inclui endpoints que executam o cliente, contas de usuário que aceitam a atualização e estáções onde o instalador consegue gravar componentes em diretórios como C:\ProgramData\PowerISO\.
A correção foi disponibilizada no cliente TrueConf Windows a partir da versão 8.5.3. Ambientes que permaneceram em versões anteriores devem ser tratados como expostos ao abuso do fluxo de atualização se o servidor local puder ser controlado por um invasor. A presença de TrueConf em redes governamentais, militares, bancos, energia, estáções de TV e infraestrutura crítica amplia o impacto potencial, mas a exploração descrita depende de uma condição específica: controle ou manipulação do servidor TrueConf local responsável por distribuir o pacote.
- Clientes TrueConf Windows que recebem atualização de servidor TrueConf on-premises controlado ou adulterado.
- Servidores com pacote de cliente substituído em
C:\Program Files\TrueConf Server\ClientInstFiles\. - Estáções com criação de
C:\ProgramData\PowerISO\poweriso.exeeC:\ProgramData\PowerISO\7z-x64.dllapós execução de atualização TrueConf. - Usuários que recebem prompt de atualização após abertura do cliente TrueConf por link ou lançamento manual do aplicativo.
A investigação deve começar pela cadeia de processos associada à atualização. Um sinal forte é a sequência trueconf.exe executando trueconf_windows_update.exe, que por sua vez aciona trueconf_windows_update.tmp e depois qualquer outro executável fora do padrão esperado. A criação de C:\ProgramData\PowerISO\poweriso.exe ou 7z-x64.dll por trueconf_windows_update.tmp deve ser tratada como evidência de entrega compatível com a campanha. Também é necessário verificar se trueconf_windows_update.exe está sem assinatura digital, pois um atualizador não assinado nesse fluxo indica adulteração ou substituição indevida.
No endpoint, a presença de C:\ProgramData\PowerISO\poweriso.exe merece contenção imediata quando PowerISO não faz parte do inventário aprovado. A persistência observada usa a chave HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck apontando para C:\ProgramData\PowerISO\PowerISO.exe, o que permite reexecução no logon do usuário. A telemetria de registro deve capturar criação ou alteração desse valor, especialmente quando combinada com atividade recente de TrueConf, execução de cmd.exe e escrita em diretórios de dados globais.
A atividade pós-comprometimento também deixa rastros de download, extração e reconhecimento. poweriso.exe gerando cmd.exe com comandos que envolvem curl, winrar.exe ou netstat indica uso do binário carregado por side-loading para acionar ferramentas do sistema e utilitários de arquivo. O download de update.7z por FTP a partir de 47.237.15[.]197 e a extração de iscsiexe.dll para %temp% são sinais de continuidade da cadeia. A presença de %AppData%\Roaming\Adobe\update.7z, 7za.exe, iscsiexe.dll ou rom.dat, inclusive com evidência de criação e remoção recente, deve ser correlacionada com execução de TrueConf e alterações em PATH.
Na rede, os endereços 43.134.90[.]60, 43.134.52[.]221 e 47.237.15[.]197 devem ser pesquisados em DNS, proxy, firewall, EDR e telemetria de fluxo. A comunicação com 47.237.15[.]197 é especialmente relevante porque foi associada ao servidor usado para recuperar artefatos e também a infraestrutura Havoc. Como Havoc é uma estrutura de pós-exploração de uso dual, detecções devem considerar o contexto: execução inesperada em estáções governamentais, após atualização TrueConf, com DLL side-loading e persistência em Run diferencia intrusão de atividade autorizada de teste.
- Cadeia de processos
trueconf.exe -> trueconf_windows_update.exe -> trueconf_windows_update.tmp -> qualquer executável. - Criação de
C:\ProgramData\PowerISO\poweriso.exeouC:\ProgramData\PowerISO\7z-x64.dllpor processo de atualização TrueConf. - Execução de
poweriso.exeacionandocmd.execomcurl,winrar.exe,netstatou comandos de extração. - Alteração de
HKCU\environment\PATHantes da execução dec:\windows\syswow64\iscsicpl.exe. - Persistência em
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheckapontando paraC:\ProgramData\PowerISO\PowerISO.exe. - Conexões para
43.134.90[.]60,43.134.52[.]221ou47.237.15[.]197.
A primeira ação é atualizar o cliente TrueConf Windows para 8.5.3 ou versão posterior em todos os endpoints que dependem de servidores locais. A atualização deve ser acompanhada de validação do servidor TrueConf on-premises: revisar o conteúdo de C:\Program Files\TrueConf Server\ClientInstFiles\, confirmar que o instalador distribuído corresponde ao pacote oficial esperado e verificar se houve substituição recente do binário de cliente. Como a falha abusa do mecanismo normal de distribuição, apenas remover o endpoint infectado sem sanear o servidor pode resultar em nova entrega maliciosa.
Em ambientes com sinais de exploração, o servidor TrueConf local deve ser tratado como ativo potencialmente comprometido até prova contrária. A resposta deve incluir preservação de logs, coleta forense dos pacotes de atualização, revisão de contas administrativas, análise de alterações no sistema de arquivos e busca por acessos anômalos ao diretório de instaladores. Nos clientes, a contenção passa por isolar máquinas com os artefatos descritos, remover persistência em Run, coletar amostras de poweriso.exe, 7z-x64.dll, iscsiexe.dll e arquivos comprimidos relacionados, e reconstruir endpoints quando houver evidência de carga Havoc ou atividade interativa.
A defesa de médio prazo deve endurecer o canal de atualização interno. Mesmo em produtos que operam em rede privada, atualizações distribuídas por servidor central precisam de validação criptográfica, verificação de assinatura, controle de integridade e auditoria de mudança. Controles de aplicação podem bloquear execução inesperada a partir de C:\ProgramData\PowerISO\ e impedir carregamento de DLL não aprovada por binários permitidos. Regras de EDR devem cobrir abuso de iscsicpl.exe, alteração suspeita de PATH em HKCU\environment, criação de DLL em diretórios temporários e uso de utilitários de transferência por processos que não deveriam baixar conteúdo externo.
- Atualizar clientes TrueConf Windows para 8.5.3 ou posterior e confirmar que todos os endpoints deixaram versões vulneráveis.
- Verificar integridade e assinatura de
trueconf_windows_update.exee do pacote armazenado no servidor TrueConf local. - Remover ou isolar máquinas com
C:\ProgramData\PowerISO\poweriso.exe,7z-x64.dll,iscsiexe.dll,update.7zourom.datassociados à cadeia. - Eliminar a persistência
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheckquando apontar paraC:\ProgramData\PowerISO\PowerISO.exe. - Bloquear ou monitorar os IoCs
43.134.90[.]60,43.134.52[.]221,47.237.15[.]197e o hash22e32bcf113326e366ac480b077067cf. - Revisar contas e acessos administrativos no servidor TrueConf on-premises antes de recolocar o serviço em produção.
0 Comentários