A falha CVE-2026-3502 permitiu abusar do fluxo de atualização do cliente Windows do TrueConf para distribuir instaladores adulterados e carregar backdoors por DLL side-loading.
| Componente | Cliente Windows do TrueConf e seu mecanismo de atualização conectado a servidores TrueConf locais. |
| Vetor | Controle prévio do servidor TrueConf local permitia substituir o pacote de atualização por um instalador adulterado, aceito pelos clientes por falta de validação adequada de integridade. |
| Impacto | Execução arbitrária de código nos endpoints conectados ao servidor comprometido, com uso observado de DLL side-loading, backdoor em DLL, persistência, reconhecimento e tentativa provável de implantação do Havoc. |
| Prioridade | Atualizar o cliente Windows do TrueConf para a versão 8.5.3 ou posterior, revisar servidores TrueConf locais, validar pacotes de atualização distribuídos e caçar artefatos associados à campanha TrueChaos. |
| Versões | A correção está disponível no cliente Windows do TrueConf a partir da versão 8.5.3. |
| Artefatos | Foram observados os arquivos 7z-x64.dll, iscsiexe.dll e poweriso.exe no fluxo de carregamento e execução descrito. |
| IoCs | Um servidor FTP foi descrito no endereço defangado 47.237.15[.]197; a campanha também usou infraestrutura em Alibaba Cloud e Tencent para comunicação de comando e controle. |
| Mitigação | A CISA incluiu CVE-2026-3502 no catálogo KEV em 2 de abril de 2026, com prazo de correção para agências FCEB em 16 de abril de 2026. |
A campanha TrueChaos explorou como zero-day a vulnerabilidade CVE-2026-3502, uma falha de alta severidade no cliente Windows do TrueConf relacionada à ausência de verificação de integridade ao buscar código de atualização. O problema não dependia de exploração direta contra cada estáção de trabalho. A condição crítica era o comprometimento ou controle do servidor TrueConf local usado como ponto central de distribuição de atualizações para os clientes conectados. A partir desse servidor, o operador podia trocar um pacote legítimo por uma versão adulterada e usar a confiança operacional do fluxo de atualização para executar código nos endpoints.
O alvo descrito envolve entidades governamentais no Sudeste Asiático. A atividade foi registrada no início de 2026 e recebeu atribuição de confiança moderada a um ator com nexo chinês. Essa avaliação se apoia no conjunto de táticas e infraestrutura observado, incluindo DLL side-loading, uso de serviços em Alibaba Cloud e Tencent para comando e controle, além da sobreposição temporal com ataques ShadowPad contra a mesma vítima. A atribuição permanece condicionada ao conjunto de evidências técnicas disponível, sem confirmação pública de identidade operacional do grupo.
A falha está no modelo de confiança entre o cliente TrueConf e o servidor TrueConf local. Em um ambiente vulnerável, o cliente aceita o código de atualização entregue pelo servidor sem uma validação de integridade suficiente para confirmar que o pacote recebido corresponde ao artefato legítimo. Quando o operador controla o servidor local, o mecanismo de atualização deixa de ser apenas um canal administrativo e passa a atuar como meio de distribuição de código. O impacto prático é a execução arbitrária de arquivos nos endpoints que confiam naquele servidor.
Na cadeia observada, o pacote adulterado iniciava um instalador malicioso que acionava DLL side-loading. Essa técnica usa um binário legítimo para carregar uma biblioteca controlada pelo operador quando a ordem de busca de DLLs, o diretório de execução ou a associação entre binário e dependência permite esse carregamento. O implante 7z-x64.dll foi associado a ações manuais de reconhecimento, estabelecimento de persistência e recuperação de payload adicional. Em seguida, iscsiexe.dll foi obtido de um servidor FTP defangado como 47.237.15[.]197 e usado para garantir a execução de poweriso.exe, binário benigno empregado no carregamento lateral do backdoor.
O malware final de último estágio não foi identificado de forma conclusiva no material disponível. Ainda assim, a avaliação técnica indicada é de alta confiança de que o objetivo da cadeia era implantar um implante Havoc, estrutura de comando e controle de código aberto frequentemente reaproveitada em intrusões. Essa distinção é importante para defesa: a presença dos artefatos intermediários, do abuso do atualizador e da infraestrutura de C2 deve ser tratada como evidência suficiente para resposta, mesmo quando o estágio final não foi recuperado integralmente.
A superfície principal não é apenas o endpoint individual com o cliente TrueConf instalado, mas a relação de confiança entre múltiplos clientes e um servidor local. Em redes governamentais, esse desenho pode ampliar o alcance de uma intrusão porque um servidor central comprometido consegue influenciar vários endpoints conectados ao mesmo fluxo de atualização. A exploração, portanto, depende de uma pré-condição forte: o adversário precisa controlar o servidor TrueConf local ou o caminho efetivo pelo qual o cliente recebe o pacote de atualização.
Ambientes com cliente Windows do TrueConf anterior à versão 8.5.3 devem ser considerados expostos se utilizarem servidores locais para distribuição de atualização. A priorização deve levar em conta a presença de servidores TrueConf acessíveis por administradores internos, contas com permissão de manutenção, histórico de atualização recente, endpoints que receberam pacotes próximos ao início de 2026 e qualquer evidência de execução dos artefatos associados à cadeia TrueChaos.
- Cliente Windows do TrueConf em versões anteriores à 8.5.3.
- Servidores TrueConf locais usados como ponto central de atualização para endpoints.
- Endpoints que receberam atualização a partir de servidor local depois de possível comprometimento administrativo.
- Ambientes governamentais ou sensíveis no Sudeste Asiático citados como alvo da campanha.
A investigação deve começar pela correlação entre eventos de atualização do TrueConf e criação de processos ou bibliotecas incomuns logo após a entrega do pacote. O ponto de interesse é a sequência em que um componente legítimo de instalação ou atualização resulta no carregamento de DLLs não esperadas, especialmente quando os nomes aparecem fora dos diretórios habituais, com metadados inconsistentes ou sem relação clara com o fornecedor do software. Como a cadeia usa DLL side-loading, a telemetria de endpoint precisa preservar eventos de carregamento de módulos, criação de arquivos e árvore de processos.
No servidor TrueConf local, a defesa deve revisar alterações nos pacotes de atualização hospedados, horários de substituição, contas administrativas envolvidas, conexões externas e divergências entre artefatos distribuídos e artefatos oficialmente esperados. Em rede, a comunicação com FTP para o endereço defangado 47.237.15[.]197 é um indicador útil quando presente, mas não deve ser o único critério de detecção. O uso de Alibaba Cloud e Tencent para C2 exige análise por padrão de tráfego, destino, periodicidade, processo de origem e contexto do host, já que provedores de nuvem também hospedam tráfego legítimo.
- Execução ou criação de
7z-x64.dll,iscsiexe.dlloupoweriso.exeem contexto associado ao TrueConf. - Carregamento de DLL por binário benigno logo após uma atualização do cliente TrueConf.
- Conexões FTP para
47.237.15[.]197ou destinos equivalentes usados para buscar payload adicional. - Alterações inesperadas em pacotes de atualização armazenados no servidor TrueConf local.
- Comunicação de endpoints recém-atualizados com infraestrutura em provedores de nuvem sem justificativa operacional.
A mitigação primária é atualizar o cliente Windows do TrueConf para a versão 8.5.3 ou posterior, na qual a falha foi corrigida. A atualização deve ser acompanhada por validação do servidor local, porque a exploração observada depende do abuso do ponto central de distribuição. Apenas corrigir endpoints sem verificar se o servidor foi comprometido pode deixar resíduos operacionais, pacotes adulterados ou credenciais administrativas ainda expostos no ambiente.
A resposta deve incluir isolamento ou contenção controlada de servidores TrueConf suspeitos, comparação dos pacotes de atualização com versões legítimas, revisão de contas administrativas, rotação de credenciais associadas à manutenção do serviço e busca retrospectiva nos endpoints conectados. Quando artefatos de DLL side-loading forem encontrados, a análise deve preservar amostras para investigação defensiva, coletar linhas do tempo de processo, identificar persistência configurada pelo operador e bloquear comunicações com infraestrutura maliciosa defangada ou padrões de C2 observados. Organizações sujeitas a políticas de vulnerabilidades exploradas conhecidas devem tratar CVE-2026-3502 como prioridade, já que a inclusão no catálogo KEV confirma exploração em ambiente real.
- Atualizar o cliente Windows do TrueConf para 8.5.3 ou versão posterior.
- Verificar a integridade dos pacotes de atualização no servidor TrueConf local.
- Auditar contas administrativas e acessos recentes ao servidor de atualização.
- Caçar DLL side-loading envolvendo
7z-x64.dll,iscsiexe.dllepoweriso.exe. - Revisar conexões FTP e tráfego de C2 associado a infraestrutura em nuvem citada na campanha.
- Remover pacotes adulterados, validar a origem das atualizações e reconstruir sistemas comprometidos quando a integridade não puder ser comprovada.
0 Comentários