Campanhas combinam exploração de falhas conhecidas em Microsoft Exchange e IIS, web shells, ShadowPad, ferramentas de túnel, phishing com roubo de credenciais e concessão indevida de tokens OAuth.
| Componente | Servidores Microsoft Exchange e aplicações em Internet Information Services expostos à internet, contas de e-mail, fluxos OAuth de terceiros e ambientes de organizações governamentais, defesa, jornalismo e sociedade civil. |
| Vetor | Exploração de vulnerabilidades conhecidas em sistemas sem correção, incluindo cadeias como ProxyLogon, implantação de web shells Godzilla, carregamento lateral de DLL para ShadowPad, uso de AnyDesk, túneis e phishing com páginas de coleta de credenciais ou solicitação de autorização OAuth. |
| Impacto | Acesso persistente a servidores, execução remota de comandos, reconhecimento interno, movimentação lateral, escalonamento de privilégio, comprometimento de contas de e-mail e coleta de telemetria de abertura por pixels de rastreamento. |
| Prioridade | Aplicar atualizações cumulativas em Exchange e aplicações IIS, revisar exposição de servidores, bloquear tentativas de exploração com WAF ou IPS quando a correção imediata não for possível, auditar web shells, sessões AnyDesk, túneis, concessões OAuth e autenticações anômalas. |
| Artefatos | SHADOW-EARTH-053, SHADOW-EARTH-054, CL-STA-0049, Earth Alux, REF7707, Godzilla, ShadowPad, Noodle RAT, ANGRYREBEL, Nood RAT, IOX, GOST, Wstunnel, RingQ, Mimikatz, Sharp-SMBExec, GLITTER CARP, SEQUIN CARP, UNK_SparkyCarp, UNK_DualTone, UTA0388, TAOTH, HealthKick, UNC6595. |
| Mitigação | Priorizar correção de servidores expostos, reduzir superfície IIS, revisar logs de aplicações web, invalidar sessões suspeitas, remover web shells, revogar tokens OAuth não reconhecidos e rotacionar credenciais potencialmente usadas em movimentação lateral. |
Uma campanha de espionagem alinhada a interesses chineses foi observada contra setores governamentais e de defesa no Sul, Leste e Sudeste da Ásia, além de um governo europeu integrante da OTAN. O agrupamento rastreado como SHADOW-EARTH-053 está ativo pelo menos desde dezembro de 2024 e apresenta sobreposição de infraestrutura ou rede com conjuntos já conhecidos como CL-STA-0049, Earth Alux e REF7707. A vitimologia inclui Paquistão, Tailândia, Malásia, Índia, Myanmar, Sri Lanka, Taiwan e Polônia, com foco em acesso inicial a servidores expostos, persistência por web shell e implantação posterior de implantes de espionagem.
A cadeia técnica combina exploração de falhas conhecidas em Microsoft Exchange e aplicações hospedadas em Internet Information Services, implantação de Godzilla como web shell, execução remota de comandos, reconhecimento e entrega de ShadowPad por carregamento lateral de DLL usando executáveis legítimos assinados. Em pelo menos um caso, a exploração de CVE-2025-55182, associada ao nome React2Shell, foi usada para distribuir uma versão Linux de Noodle RAT, também referida como ANGRYREBEL ou Nood RAT. Esse encadeamento específico foi associado a UNC6595, o que cria uma camada adicional de sobreposição operacional sem permitir, por si só, concluir que todos os clusters compartilham comando único.
Em paralelo, duas campanhas de phishing atribuídas a atores afiliados à China, rastreadas como GLITTER CARP e SEQUIN CARP, miraram jornalistas, organizações de sociedade civil e ativistas das diásporas uigur, tibetana, taiwanesa e de Hong Kong. O objetivo técnico foi obter acesso inicial a contas baseadas em e-mail por roubo de credenciais, páginas de phishing, kits do tipo adversary-in-the-middle e engenharia social para concessão de tokens OAuth a aplicações de terceiros. A atividade mostra uso recorrente de infraestrutura, reutilização de domínios e personificação de indivíduos conhecidos ou alertas de segurança de empresas de tecnologia.
No intrusão contra servidores, o ponto de entrada depende de sistemas expostos à internet que ainda aceitam exploração de vulnerabilidades conhecidas. Aplicações IIS e instâncias Microsoft Exchange não corrigidas são alvos naturais porque combinam superfície pública, contexto de autenticação corporativa e acesso a redes internas. Após explorar a falha, o operador instala Godzilla, que fornece uma interface persistente para execução de comandos e para a preparação de novas etapas. A presença do web shell permite consultar ambiente, listar usuários, validar privilégios, identificar caminhos de gravação e posicionar ferramentas sem exigir autenticação interativa tradicional.
A etapa seguinte envolve o uso de AnyDesk e a implantação de ShadowPad por carregamento lateral de DLL. Nesse padrão, um executável legítimo e assinado é colocado junto a uma biblioteca maliciosa com nome esperado pelo processo; ao iniciar, o binário confiável carrega a DLL controlada pelo atacante, reduzindo a chance de bloqueio por mecanismos que confiam excessivamente em assinatura de arquivo. O uso de RingQ para empacotar binários maliciosos acrescenta evasão, enquanto IOX, GOST e Wstunnel criam canais de túnel que podem transportar tráfego de comando e controle, pivot ou acesso administrativo por portas e fluxos menos óbvios.
Para avanço interno, o conjunto usa Mimikatz em cenários de escalonamento de privilégio e roubo de material de autenticação, além de um lançador RDP personalizado e Sharp-SMBExec, uma implementação em C# de execução remota por SMB. A combinação sugere uma operação que começa por aplicação web, transforma o servidor em ponto de apoio, coleta credenciais ou tokens reaproveitáveis, cria túneis para contornar segmentação e usa protocolos administrativos para se mover lateralmente. O impacto real depende dos privilégios do servidor comprometido, da segmentação de rede, da presença de credenciais em memória e da capacidade do atacante de permanecer tempo suficiente para reconhecimento.
Nas campanhas de phishing, o fluxo é centrado em identidade. GLITTER CARP usou e-mails com personificação bem elaborada, páginas de coleta e pixels de rastreamento 1x1 apontando para domínios controlados pelo atacante. Esses pixels confirmam abertura da mensagem, coletam informações do dispositivo ou do cliente de e-mail e ajudam a priorizar alvos responsivos. SEQUIN CARP mirou jornalistas internacionais e pessoas que escrevem sobre temas sensíveis para o governo chinês. A operação também inclui tentativa de induzir o usuário a conceder acesso a um token OAuth de terceiros, o que pode permitir leitura de e-mail ou persistência na conta sem depender apenas de senha.
A superfície de maior risco está em servidores Exchange e aplicações IIS expostos publicamente, principalmente quando a organização mantém correções atrasadas, aplicações legadas, módulos de autenticação customizados ou regras de publicação que permitem acesso amplo a rotas administrativas. O uso de falhas N-day indica que o vetor não exige vulnerabilidade inédita: basta que a janela entre divulgação, correção e aplicação efetiva permaneça aberta. Em ambientes governamentais e de defesa, essa janela costuma ser agravada por dependências de sistemas antigos, validações demoradas de mudança e presença de aplicações internas publicadas para parceiros.
Também ficam expostos ambientes de identidade e colaboração quando contas de e-mail são usadas como ponto de entrada para organizações jornalísticas, acadêmicas, políticas, jurídicas, de semicondutores ou de sociedade civil. O risco não se limita ao roubo de senha. Concessões OAuth indevidas podem sobreviver a alterações de credencial se a revogação de consentimentos não for executada, e kits adversary-in-the-middle podem capturar sessões ou contornar controles de autenticação multifator quando o fluxo de login é intermediado pelo atacante. A interseção entre espionagem por servidor e phishing por identidade amplia a capacidade de coleta, persistência e seleção de novos alvos.
Quase metade dos alvos de SHADOW-EARTH-053, especialmente na Malásia, Sri Lanka e Myanmar, também havia sido comprometida anteriormente por um conjunto relacionado chamado SHADOW-EARTH-054. A coincidência de vítimas não prova coordenação direta, mas é operacionalmente importante: ambientes já comprometidos podem conter contas reaproveitadas, regras de firewall alteradas, serviços remotos deixados para trás, web shells antigos ou túneis esquecidos. Para defesa, isso significa que a resposta não deve se limitar ao artefato mais recente; é necessário reconstruir a linha do tempo de exposições anteriores e verificar se acessos persistentes sobreviveram a limpezas parciais.
- Servidores Microsoft Exchange expostos à internet e sem todas as atualizações cumulativas aplicadas.
- Aplicações IIS públicas com falhas conhecidas, módulos legados, upload permissivo ou execução de código no contexto do servidor.
- Hosts Windows usados como ponto de apoio para AnyDesk, carregamento lateral de DLL, execução SMB e RDP.
- Contas de e-mail de jornalistas, ativistas, organizações acadêmicas, políticas, jurídicas e setor de semicondutores.
- Concessões OAuth de terceiros não revisadas, sessões ativas e logins feitos após interação com e-mails de personificação.
A investigação em servidores deve começar por logs de IIS, Exchange, EDR e criação de arquivos em diretórios graváveis por processos web. Caçadores devem procurar requisições incomuns para rotas associadas a exploração conhecida, picos de respostas 500 ou 200 em endpoints pouco usados, criação de arquivos ASPX, DLLs ou binários em diretórios temporários, execução de shells filhos por processos de aplicação web e conexões de saída logo após upload ou gravação de arquivo. A presença de Godzilla deve ser tratada como evidência de execução remota e não apenas como arquivo malicioso isolado.
Para ShadowPad e carregamento lateral de DLL, a telemetria precisa correlacionar execução de binários assinados fora de seus caminhos normais, DLLs com nomes comuns colocadas no mesmo diretório, módulos carregados de localizações temporárias ou perfis de usuário e conexões de rede feitas por processos que normalmente não iniciam tráfego externo. RingQ pode alterar assinatura estática e dificultar detecção por hash; portanto, comportamento de processo, árvore de execução, criação de serviço, tarefa agendada, persistência e comunicação de rede têm mais valor do que busca simples por indicadores pontuais.
A movimentação lateral deve ser caçada em eventos de autenticação, criação remota de serviço, execução por SMB, sessões RDP incomuns e uso de credenciais administrativas fora do padrão. Mimikatz raramente aparece apenas como nome de arquivo; sinais como acesso a LSASS, dumps de memória, carregamento de bibliotecas suspeitas, privilégios de depuração e autenticações subsequentes com contas privilegiadas devem compor a hipótese. Túneis IOX, GOST e Wstunnel podem aparecer como binários desconhecidos criando conexões persistentes, tráfego de longa duração, portas locais encaminhadas e processos com argumentos contendo destinos internos ou externos.
Na frente de phishing, a telemetria útil vem de gateways de e-mail, logs de clique, registros DNS, autenticação de identidade, consentimento OAuth e alertas de acesso condicional. Mensagens com personificação de jornalistas, pesquisadores, organizações da sociedade civil, alertas de segurança ou temas políticos sensíveis devem ser avaliadas em conjunto com domínios recém-criados, URLs de rastreamento, pixels 1x1 e páginas que imitam provedores de identidade. Uma abertura de e-mail seguida por consentimento OAuth, login de novo dispositivo ou regra de encaminhamento criada na caixa postal deve ser tratada como possível comprometimento de conta.
- Processos de IIS ou Exchange iniciando
cmd.exe,powershell.exe, ferramentas de compactação, clientes remotos ou binários em diretórios temporários. - Arquivos web recém-criados, modificados ou pouco acessados antes de uma sequência de execução de comandos, especialmente em caminhos de aplicação pública.
- Execução de binários assinados a partir de diretórios não usuais, acompanhada de DLL local desconhecida e tráfego externo inesperado.
- Conexões persistentes associadas a
IOX,GOST,Wstunnelou binários sem reputação executados em servidores que não deveriam fazer túnel. - Eventos de acesso a
LSASS, criação remota de serviço, autenticação administrativa lateral, sessão RDP fora de horário e uso de contas privilegiadas em hosts incomuns. - E-mails com pixel de rastreamento 1x1, domínios de personificação, páginas de login suspeitas, concessão OAuth não reconhecida e regras de encaminhamento em caixas postais.
A resposta deve priorizar servidores publicamente expostos. Exchange e aplicações IIS precisam receber atualizações cumulativas e correções de segurança aplicáveis, com verificação posterior de versão e de estado real do componente, não apenas aprovação em ferramenta de gestão. Quando a correção imediata não for possível, controles de compensação devem bloquear padrões de exploração conhecidos em WAF ou IPS, restringir acesso por origem, remover rotas administrativas da internet e reduzir permissões de gravação do usuário de aplicação. Essa contenção não substitui correção, mas diminui a probabilidade de exploração enquanto a mudança é preparada.
Ambientes com suspeita de intrusão devem ser tratados como comprometidos até prova contrária. A remoção de um web shell não encerra a resposta se já houve execução de comandos, AnyDesk, ShadowPad, túneis ou movimentação lateral. É necessário isolar o host, coletar imagem ou artefatos relevantes, preservar logs, identificar todos os binários implantados, revisar persistências, invalidar credenciais usadas no servidor e verificar se houve acesso a controladores de domínio, servidores de arquivos, plataformas de e-mail ou painéis de administração. Contas privilegiadas usadas no período da intrusão exigem rotação controlada e análise de uso posterior.
Para identidade, a mitigação deve incluir revogação de sessões, revisão de dispositivos confiáveis, remoção de tokens OAuth concedidos a aplicações não reconhecidas e verificação de regras de caixa postal, encaminhamento, delegações e permissões de aplicativo. Usuários de alto risco, como jornalistas, pesquisadores, ativistas, administradores e equipes de relações governamentais, precisam de proteção contra phishing que cubra anexos, links, domínios parecidos, prompts de OAuth e kits adversary-in-the-middle. Autenticação multifator resistente a phishing, baseada em chaves de segurança ou passkeys com validação de origem, reduz o risco de captura de sessão em páginas intermediadas.
A atribuição deve ser usada para orientar hipóteses, não para encerrar a investigação. A sobreposição entre SHADOW-EARTH-053, SHADOW-EARTH-054, CL-STA-0049, Earth Alux, REF7707, UNC6595, GLITTER CARP, SEQUIN CARP e outros nomes mostra convergência de infraestrutura, alvos e técnicas, mas nem toda interseção implica a mesma equipe operacional. Para defesa, o valor prático está em mapear TTPs: exploração de N-day em servidores expostos, web shells, carregamento lateral de DLL, ferramentas de túnel, roubo de credenciais, execução SMB, phishing de identidade e abuso de OAuth. Controles e detecções devem cobrir esse conjunto, independentemente do nome usado para o ator.
- Aplicar atualizações cumulativas em Microsoft Exchange e corrigir aplicações IIS expostas; confirmar versões e reinicializações pendentes.
- Usar WAF ou IPS com regras específicas para exploração de falhas conhecidas quando a correção direta precisar de janela de mudança.
- Inventariar e remover web shells, binários de túnel, AnyDesk não autorizado, DLLs suspeitas e persistências criadas após o primeiro evento anômalo.
- Isolar hosts com evidência de
Godzilla,ShadowPad,Noodle RAT, execução por SMB, acesso aLSASSou túnel persistente. - Rotacionar credenciais usadas em servidores comprometidos, invalidar sessões e revisar autenticações administrativas durante toda a janela de exposição.
- Revogar tokens OAuth desconhecidos, bloquear consentimento de usuário para aplicações não aprovadas e auditar regras de encaminhamento em caixas postais.
- Treinar e proteger grupos visados por phishing com autenticação resistente a phishing, análise de domínios de personificação e revisão de cliques em mensagens direcionadas.
0 Comentários