Campanha observada entre março e abril de 2026 usa iscas de ajuda humanitária, arquivos LNK, HTA remoto e cargas como AGINGFLY, RAVENSHELL e SILENTLOOP para controle remoto, reconhecimento e coleta de dados em navegadores Chromium e WhatsApp.
| Componente | Campanha atribuída ao cluster UAC-0247 contra governos e instituições municipais de saúde na Ucrânia, incluindo clínicas e hospitais de emergência. |
| Vetor | E-mails com proposta de ajuda humanitária levam a sites comprometidos por XSS ou páginas falsas criadas com auxílio de IA, induzindo a execução de arquivo LNK que aciona HTA remoto por comando operacional omitido. |
| Impacto | Controle remoto de sistemas Windows, execução de comandos, keylogging, download de arquivos, execução de cargas adicionais, reconhecimento, movimentação lateral e roubo de credenciais e dados sensíveis de WhatsApp e navegadores Chromium. |
| Prioridade | Restringir execução de LNK, HTA e JS, controlar o uso de comando operacional omitido, comando operacional omitido e wscript.exe, investigar hosts que executaram a cadeia e revisar credenciais expostas em navegadores e WhatsApp Web. |
| Artefatos | Foram descritos AGINGFLY, RAVENSHELL, SILENTLOOP, arquivos LNK, HTA remoto, injeção de shellcode em processo legítimo e distribuição alternativa por arquivos ZIP via Signal. |
| Limite de atribuição | A atividade foi agrupada como UAC-0247, mas a origem do operador permanece desconhecida no material disponível. |
Uma campanha observada entre março e abril de 2026 atingiu órgãos governamentais ucranianos e instituições municipais de saúde, com foco em clínicas e hospitais de emergência. A atividade foi agrupada sob o identificador UAC-0247 e combina engenharia social, abuso de recursos nativos do Windows e múltiplas cargas para obter controle remoto e coletar informações sensíveis. O alvo setorial é relevante porque ambientes hospitalares e administrativos costumam reunir credenciais de acesso, comunicação institucional, dados operacionais e estáções com navegação autenticada em serviços críticos.
A cadeia começa com mensagens de e-mail que simulam proposta de ajuda humanitária. O objetivo da isca é levar o destinatário a uma página que entrega um arquivo de atalho do Windows. O site intermediário pode ser um domínio legítimo comprometido por vulnerabilidade de XSS ou uma página falsa criada com auxílio de ferramentas de IA. Em ambos os casos, a função operacional é a mesma: reduzir a desconfiança do usuário, deslocar a interação para fora do e-mail e iniciar uma sequência local que usa componentes comuns do Windows para carregar código remoto.
O conjunto de malware associado inclui AGINGFLY, RAVENSHELL e SILENTLOOP. AGINGFLY, desenvolvido em C#, fornece controle remoto por WebSockets e aceita comandos para execução local, keylogging, download de arquivos e acionamento de cargas adicionais. RAVENSHELL atua como shell reverso TCP, conectando o host comprometido a um servidor de gerenciamento para receber instruções executadas por comando operacional omitido. SILENTLOOP é um script PowerShell com funções para execução de comandos, atualização automática de configuração e descoberta do endereço C2 atual por meio de um canal no Telegram, com mecanismos alternativos de resolução quando necessário.
Depois que a vítima interage com a isca, o arquivo LNK baixa ou aciona uma aplicação HTA remota usando comando operacional omitido. O HTA mostra um formulário de distração para manter a aparência de processo legítimo enquanto busca um binário responsável pela próxima etapa. Esse binário injeta shellcode em um processo legítimo, com runtimeBroker.exe citado como exemplo de alvo. A escolha de um processo do sistema dificulta a avaliação visual por usuários e pode reduzir a eficácia de controles que dependem apenas de nomes de processos aparentemente confiáveis.
Campanhas recentes associadas à mesma atividade também registraram um carregador em dois estágios. A segunda etapa usa um formato executável proprietário, com suporte a seções de código e dados, importação de funções de bibliotecas dinâmicas e relocação. A carga final é comprimida e criptografada, o que cria obstáculos para inspeção estática simples, varredura baseada apenas em assinaturas e extração direta de strings. Para defesa, esse detalhe desloca a prioridade para correlação comportamental: criação de processo anômala a partir de LNK, uso de HTA remoto, execução de utilitários de script e comunicação de rede subsequente.
Uma vez instalado, o conjunto permite atividades pós-comprometimento. A investigação mencionada no material envolveu cerca de uma dúzia de incidentes e identificou reconhecimento, movimentação lateral e coleta de dados sensíveis. A coleta mira credenciais e informações armazenadas ou acessíveis por WhatsApp e navegadores baseados em Chromium. Também foi citada a ferramenta ZAPiXDESK, voltada à extração forense e descriptografia de bancos locais do WhatsApp Web, além de Ligolo-Ng, utilitário capaz de estabelecer túneis a partir de conexões reversas TCP/TLS. Em mãos de um operador, esses artefatos ampliam alcance interno, visibilidade sobre comunicações e capacidade de manter canais entre segmentos de rede.
A superfície principal é composta por estáções Windows usadas por governos, clínicas e hospitais de emergência na Ucrânia. O vetor exige interação do usuário com e-mail e execução indireta de um arquivo LNK, mas a cadeia se apoia em componentes nativos frequentemente permitidos em ambientes corporativos. A presença de comando operacional omitido, PowerShell e mecanismos de script cria uma rota de execução que pode passar por políticas fracas de controle de aplicação, principalmente quando arquivos de atalho e conteúdo remoto não são bloqueados por origem, tipo ou zona de segurança.
Há também indicação de possível direcionamento a representantes das Forças de Defesa da Ucrânia. Essa parte da atividade aparece associada à distribuição de arquivos ZIP maliciosos via Signal, projetados para instalar AGINGFLY por carregamento lateral de DLL. O dado amplia a superfície para canais de mensagens fora do e-mail corporativo e reforça que a campanha não depende de um único caminho de entrega. O uso de mensageria pode reduzir a visibilidade de gateways tradicionais de e-mail e transferir a detecção para endpoint, controle de downloads, telemetria de extração de arquivos e eventos de carregamento de bibliotecas.
- Estáções Windows de órgãos governamentais e instituições municipais de saúde ucranianas.
- Usuários que recebem mensagens com proposta de ajuda humanitária e interagem com links externos.
- Ambientes que permitem arquivos LNK, HTA e JS sem validação forte de origem ou reputação.
- Hosts com execução liberada de comando operacional omitido, comando operacional omitido,
wscript.exee comando operacional omitido em contexto de usuário. - Sistemas onde navegadores Chromium e WhatsApp Web armazenam sessões, credenciais ou bancos locais acessíveis ao usuário comprometido.
A investigação defensiva deve começar pela reconstrução da cadeia de processo. Eventos em que um arquivo LNK aciona comando operacional omitido para conteúdo remoto são fortes candidatos a triagem, especialmente quando seguidos por execução de binários recém-gravados, PowerShell, comando operacional omitido ou comunicação para infraestrutura externa. A exibição de um formulário HTA não deve ser tratada como evidência de benignidade; na cadeia descrita, a interface serve como distração enquanto ocorre a busca de componentes adicionais.
No endpoint, a presença de injeção em processo legítimo exige atenção a anomalias de memória, criação de threads remotas, carregamento incomum de módulos e conexões de rede originadas de processos que normalmente não se comunicam com servidores externos. O exemplo de runtimeBroker.exe deve ser usado como ponto de partida para modelar comportamento, não como único processo possível. Para PowerShell, o foco deve estar em execução incomum, atualização de configuração, consultas a serviços externos para obtenção de C2 e padrões de fallback para resolução de endereço de gerenciamento.
Na rede, conexões WebSocket usadas por AGINGFLY e canais TCP reversos compatíveis com RAVENSHELL merecem correlação com eventos locais de execução. A consulta a um canal do Telegram para obter endereço C2 também cria oportunidade de detecção por acesso incomum a serviços de mensageria a partir de servidores ou estáções administrativas. Como foram mencionadas ferramentas de túnel e extração de WhatsApp Web, a telemetria deve incluir criação de túneis reversos, acesso a bancos locais de aplicativos, leitura incomum de perfis de navegador e movimentação entre segmentos internos após o primeiro host comprometido.
- Arquivo LNK originado de e-mail ou download web seguido por execução de comando operacional omitido.
- HTA remoto exibindo formulário e acionando binário adicional em segundo plano.
- comando operacional omitido, PowerShell ou comando operacional omitido iniciados em sequência por processo de usuário sem justificativa administrativa.
- Processos legítimos com conexões externas anômalas após possível injeção de código.
- Tráfego WebSocket para destino não reconhecido logo depois da execução da cadeia inicial.
- Acesso incomum a bancos locais do WhatsApp Web e perfis de navegadores Chromium.
- Uso de canal do Telegram ou mecanismo semelhante para atualização de endereço C2.
- Sinais de tunelamento reverso TCP/TLS e varredura interna após a infecção inicial.
A mitigação deve priorizar a interrupção dos tipos de arquivo e binários usados no início da cadeia. Restringir LNK, HTA e JS reduz a chance de execução a partir de iscas de e-mail, downloads e arquivos compactados. Controles de aplicação devem tratar comando operacional omitido, comando operacional omitido e wscript.exe como utilitários de alto risco em estáções de usuário, permitindo uso apenas quando houver necessidade administrativa clara, com escopo definido e registro detalhado. A mesma lógica vale para comando operacional omitido quando acionado por processos que não fazem parte de fluxos operacionais conhecidos.
Em hosts suspeitos, a resposta precisa considerar que a campanha busca credenciais e dados de aplicativos locais. A contenção deve isolar a máquina, preservar artefatos de memória e disco quando houver investigação, remover persistências e revisar contas usadas no endpoint. Como os dados visados incluem WhatsApp e navegadores Chromium, a rotação de credenciais não deve se limitar a contas de domínio; sessões web, tokens persistentes, credenciais salvas em navegador e acessos a sistemas internos usados a partir do host comprometido precisam ser revogados ou revalidados.
A validação pós-correção deve confirmar que a cadeia não permaneceu ativa por canais alternativos. Isso inclui revisar histórico de conexões WebSocket, tráfego TCP reverso, uso de Telegram para descoberta de C2, execução de ferramentas de tunelamento e sinais de carregamento lateral de DLL em arquivos extraídos de ZIP recebidos por mensageria. Para organizações expostas ao setor de saúde ou governo, a defesa deve combinar bloqueio preventivo, análise de e-mail, controle de downloads, EDR com visibilidade de script e monitoramento de identidade para detectar uso indevido de credenciais após a contenção inicial.
- Bloquear ou restringir execução de LNK, HTA e JS em estáções de usuário e anexos recebidos.
- Aplicar controle de aplicação para comando operacional omitido, comando operacional omitido,
wscript.exee uso anômalo de comando operacional omitido. - Isolar hosts que executaram a cadeia e preservar evidências antes de limpeza quando houver necessidade forense.
- Revogar sessões e rotacionar credenciais acessadas por navegadores Chromium e WhatsApp Web no host afetado.
- Procurar AGINGFLY, RAVENSHELL, SILENTLOOP e artefatos correlatos por comportamento, não apenas por nome de arquivo.
- Revisar mensagens recebidas por e-mail e Signal que contenham links, LNK, ZIP ou anexos associados à isca de ajuda humanitária.
- Bloquear conexões de gerenciamento não autorizadas, túneis reversos e acesso incomum a serviços usados para resolução de C2.
- Validar que não houve movimentação lateral antes de recolocar sistemas clínicos ou administrativos em operação normal.
0 Comentários