Storm-2561 distribui clientes VPN trojanizados para roubo de credenciais

Campanha usa envenenamento de SEO, sites falsos, repositórios GitHub e instaladores MSI assinados para capturar credenciais de VPN corporativa em sistemas Windows.

Componente	Clientes VPN falsos para Windows, entregues como arquivos ZIP com instalador MSI e DLLs maliciosas carregadas por sideloading.
Vetor	Envenenamento de SEO direcionado a buscas por software corporativo legítimo, com redirecionamento para sites controlados pelo operador e uso de GitHub para hospedar instaladores.
Impacto	Captura e exfiltração de credenciais de VPN por uma variante do infostealer Hyrax, com interface falsa de autenticação e persistência via chave `RunOnce`.
Prioridade	Restringir downloads a canais oficiais verificados, exigir MFA em contas de VPN, revisar endpoints que instalaram clientes VPN fora do processo corporativo e procurar persistência em `RunOnce`.
Artefatos	Instaladores MSI trojanizados, DLLs maliciosas carregadas durante a instalação, componentes assinados por Taiyuan Lihua Near Information Technology Co., Ltd. e domínio defangado `ivanti-vpn[.]org` em iteração anterior.
Mitigação	Os repositórios GitHub controlados pelo operador foram removidos e o certificado legítimo usado na assinatura foi revogado; ambientes afetados ainda devem validar instalações locais e credenciais expostas.

Resumo técnico

A campanha atribuída ao cluster Storm-2561 usa clientes VPN falsos para Windows como isca para roubo de credenciais corporativas. A atividade foi observada em meados de janeiro de 2026 e segue um padrão já associado ao grupo desde maio de 2025: manipular resultados de busca para colocar páginas maliciosas diante de usuários que procuram softwares empresariais legítimos. O alvo operacional não é uma vulnerabilidade específica no cliente VPN, mas a confiança do usuário em nomes de fornecedores, páginas bem posicionadas em mecanismos de busca e instaladores aparentemente válidos.

O fluxo combina engenharia social, distribuição por sites controlados pelo operador, uso de repositórios GitHub para hospedar arquivos e execução de componentes assinados digitalmente. O pacote entregue contém um arquivo ZIP com instalador MSI que se apresenta como software VPN confiável. Durante a instalação, DLLs maliciosas são carregadas por sideloading, permitindo que o instalador mantenha aparência legítima enquanto executa a lógica de coleta. O objetivo final é capturar credenciais de VPN por meio de uma variante do infostealer Hyrax.

A campanha é relevante para equipes de segurança porque explora uma etapa comum do ciclo de vida de acesso remoto: a instalação ou reinstalação de cliente VPN por usuários finais. Esse ponto costuma envolver buscas na web, downloads manuais, permissões locais e expectativa de tela de autenticação. Quando o instalador falso exibe um diálogo convincente de login, o usuário pode inserir credenciais corporativas antes de perceber o erro. Depois da coleta, a interface mostra uma mensagem de falha e direciona a vítima para baixar o cliente legítimo, reduzindo a chance de suspeita imediata.

Fluxo técnico

O vetor inicial é o envenenamento de SEO. O operador posiciona páginas falsas para consultas relacionadas a softwares corporativos, incluindo clientes e fornecedores de VPN ou plataformas empresariais. Em campanhas anteriores relacionadas ao mesmo cluster, usuários que buscavam programas de SonicWall, Hanwha Vision e Pulse Secure, agora Ivanti Secure Access, foram redirecionados a páginas falsas por resultados de busca no Bing. Uma iteração posterior usou o domínio defangado ivanti-vpn[.]org para distribuir um cliente Ivanti Pulse Secure trojanizado com foco em credenciais de VPN.

Na campanha de janeiro de 2026, o uso de GitHub como ponto de hospedagem aumenta a plausibilidade do download. O repositório malicioso hospeda um ZIP que contém um MSI com identidade visual e nomenclatura alinhadas a software VPN legítimo. O pacote instala componentes que mascaram a atividade maliciosa e aciona DLLs durante o processo. O sideloading é útil para o operador porque aproveita o comportamento esperado de carregamento de bibliotecas no Windows, permitindo que código malicioso seja executado no contexto de um fluxo de instalação que aparenta normalidade para o usuário.

Após a execução, o malware apresenta uma janela falsa de autenticação VPN. Esse diálogo é a etapa central de coleta: a vítima acredita estar configurando ou acessando o cliente, digita as credenciais e recebe uma mensagem de erro. Em alguns casos, o fluxo redireciona para o site legítimo do fornecedor, o que ajuda a encerrar a interação de forma verossímil. O componente de roubo, descrito como variante do Hyrax, coleta as credenciais inseridas e as exfiltra. O contexto não confirma exploração de vulnerabilidade, movimentação lateral ou comprometimento adicional; o impacto confirmado está concentrado no roubo de credenciais de VPN.

A persistência é configurada por meio da chave de registro RunOnce, fazendo com que o componente seja executado automaticamente após reinicialização do sistema. Esse mecanismo não garante permanência indefinida por si só, mas é suficiente para reexecutar a carga em um momento posterior e deve ser tratado como sinal de instalação maliciosa quando associado a caminhos, nomes de arquivos ou fornecedores inconsistentes com o inventário corporativo. Os componentes maliciosos foram assinados digitalmente por Taiyuan Lihua Near Information Technology Co., Ltd., e o certificado usado na operação foi posteriormente revogado.

Superfície afetada

A superfície exposta inclui estáções Windows usadas por funcionários, prestadores ou administradores que baixam clientes VPN manualmente, especialmente quando não há portal corporativo claro para obtenção de software. Ambientes em que usuários têm permissão para instalar MSI, baixar ZIPs de fontes externas ou executar instaladores sem validação de assinatura ficam mais suscetíveis. A campanha também afeta processos de suporte remoto em que instruções informais levam usuários a procurar o cliente em mecanismos de busca em vez de usar um repositório interno validado.

O risco é maior para organizações que dependem de VPN como camada de acesso inicial a recursos internos. Credenciais capturadas nesse fluxo podem permitir tentativas de autenticação remota caso não exista MFA obrigatório, condicional de acesso robusta ou detecção de anomalias. O material analisado não confirma uso posterior dessas credenciais, mas a finalidade declarada da operação é obter credenciais VPN. Por isso, a resposta deve tratar qualquer instalação suspeita como possível exposição de identidade, ainda que não haja evidência imediata de intrusão além do endpoint afetado.

Endpoints Windows que executaram instaladores MSI de VPN obtidos por busca web, repositórios públicos ou domínios não pertencentes ao fornecedor.
Usuários que procuraram clientes VPN de fornecedores conhecidos e foram redirecionados para páginas semelhantes às marcas legítimas.
Contas de VPN sem MFA obrigatório, sem políticas de acesso condicional ou sem monitoramento de login por origem, horário e reputação.
Máquinas com entradas recentes em RunOnce associadas a caminhos temporários, diretórios de download, nomes de clientes VPN inesperados ou certificados revogados.
Histórico de download envolvendo ZIPs hospedados em repositórios GitHub desconhecidos e instaladores assinados por Taiyuan Lihua Near Information Technology Co., Ltd.

Hunting e telemetria

A investigação deve começar pelo inventário de software e pela trilha de instalação. Equipes de EDR, administração de endpoints e suporte devem correlacionar eventos de download de ZIP, execução de MSI e criação de processos filhos durante instalação de cliente VPN. A presença de DLLs carregadas a partir de diretórios temporários, pastas de usuário ou locais não padronizados durante a instalação é um sinal importante, principalmente quando o binário se apresenta como software de VPN mas não corresponde ao hash, assinatura, caminho ou fornecedor esperado no ambiente.

A telemetria de identidade deve procurar autenticações VPN anômalas após o momento de instalação suspeita. Isso inclui tentativas de login a partir de endereços, geolocalizações, dispositivos ou horários incomuns, além de repetição de falhas seguida de sucesso. Como o contexto descreve captura por janela falsa de login, também é útil revisar chamados de suporte relacionados a erro de instalação, falha de login em cliente VPN recém-baixado ou orientação para baixar o cliente novamente. Esses eventos podem indicar que o usuário passou pelo fluxo de coleta antes de chegar ao software legítimo.

Na rede, a caça deve focar conexões de saída iniciadas por instaladores, processos de cliente VPN recém-criados ou binários fora do diretório oficial do fornecedor. Não há uma lista extensa de IoCs confiável no contexto, portanto a abordagem mais defensável é baseada em comportamento: downloads de repositórios públicos não aprovados, execução de MSI fora do catálogo corporativo, criação de persistência em RunOnce, exibição de autenticação antes de instalação validada e tráfego de saída de processos que não fazem parte do cliente legítimo.

Execução de instaladores MSI de VPN a partir de Downloads, Temp, área de trabalho ou diretórios extraídos de ZIPs baixados da web.
Carregamento de DLL por processos de instalação com caminhos diferentes dos diretórios oficiais do fornecedor VPN.
Criação ou alteração de valores em RunOnce após execução de instalador associado a cliente VPN.
Assinatura digital envolvendo Taiyuan Lihua Near Information Technology Co., Ltd. em componentes que se passam por VPN corporativa.
Autenticações VPN suspeitas após instalação local, especialmente sem MFA, com origem incomum ou fora do padrão histórico do usuário.
Histórico de navegação ou proxy apontando para páginas de download de VPN não oficiais e para o domínio defangado ivanti-vpn[.]org em investigações de campanhas anteriores.

Mitigação

A prioridade é reduzir a possibilidade de instalação por canais não confiáveis. Organizações devem publicar clientes VPN em portais internos, catálogos gerenciados ou ferramentas de distribuição de software, com instruções claras para impedir buscas abertas por instaladores. Controles de aplicação devem bloquear MSI não aprovados, restringir execução a partir de diretórios de usuário e validar assinatura, editor e origem do pacote antes da instalação. A revogação do certificado e a remoção dos repositórios GitHub usados na operação ajudam a neutralizar a infraestrutura observada, mas não corrigem endpoints que já executaram o instalador.

Em resposta a uma instalação suspeita, a equipe deve isolar o endpoint quando houver sinais de execução do infostealer, coletar artefatos do instalador, revisar entradas de persistência e remover componentes não autorizados. A conta afetada deve passar por redefinição de credencial e invalidação de sessões, com revisão de logs de VPN antes e depois do evento. MFA precisa estar habilitado para todas as contas, pois o objetivo da campanha é capturar credenciais reutilizáveis. Quando MFA já existe, a investigação deve incluir tentativas de abuso de autenticação, fadiga de aprovação ou falhas repetidas.

A comunicação interna também é parte da mitigação técnica. Usuários e equipes de suporte devem ser orientados a não obter clientes VPN por resultados de busca, anúncios ou repositórios públicos, mesmo quando a página use marca conhecida. O processo correto deve apontar para um endereço corporativo ou fornecedor validado, sem links ativos para domínios suspeitos. Em paralelo, times de segurança devem revisar alertas de EDR, proxy, DNS, inventário de software e identidade para identificar instalações passadas, pois a campanha foi observada desde janeiro de 2026 e o cluster mantém histórico de impersonação de fornecedores desde maio de 2025.

Exigir MFA em todas as contas de VPN e revisar políticas de acesso condicional para origem, dispositivo, risco e horário.
Distribuir clientes VPN apenas por catálogo corporativo, MDM, portal interno ou página oficial previamente validada.
Bloquear ou alertar execução de MSI e ZIP obtidos de repositórios públicos, domínios recém-observados ou páginas de download não aprovadas.
Auditar RunOnce, software instalado, certificados de assinatura e DLLs carregadas por processos de instalação em endpoints suspeitos.
Redefinir credenciais e revogar sessões de usuários que inseriram dados em clientes VPN falsos ou executaram instaladores trojanizados.
Correlacionar instalação local, eventos de autenticação VPN e tráfego de saída para confirmar se houve captura de credenciais e tentativa de uso posterior.

Storm-2561 distribui clientes VPN trojanizados para roubo de credenciais

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Storm-2561 distribui clientes VPN trojanizados para roubo de credenciais

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato