
Ameaças cibernéticas avançadas empregam backdoors em linguagem Go, exfiltração de dados via rede e ferramentas de dumping de credenciais para atingir entidades diplomáticas na região da Ásia-Pacífico.
| Componente | Malware GoSerpent, Stowaway RAT, ThumbcacheService, Mimikatz, QuarksDumpLocalHash, TmcLoader, TmcPayload e DLL ejtest.dll. |
| Vetor | Execução de implantes via documentos RTF com macros, comunicação C2 criptografada usando hash de senha como chave, e injeção de shellcode com geofencing. |
| Impacto | Coleta persistente de arquivos sensíveis, exfiltração de dados através de compartilhamentos de rede, roubo de credenciais via despejo de memória LSASS e extração de hashes do registro SAM. |
| Prioridade | Auditoria de acessos anômalos ao processo LSASS, monitoramento de tráfego SOCKS5 não autorizado e bloqueio de documentos com macros ativas em gateways de e-mail. |
Pesquisadores de segurança cibernética identificaram uma campanha de espionagem direcionada a governos e entidades diplomáticas no Sudeste Asiático, empregando um malware anteriormente não documentado batizado de GoSerpent. A atividade maliciosa, detectada inicialmente no início de 2026, demonstra um foco explícito no estabelecimento de acesso de longo prazo e na coleta de informações de inteligência. O backdoor, escrito na linguagem de programação Go, foi projetado para estabelecer comunicação com servidores externos e implantar payloads secundários focados na extração de dados sensíveis e no roubo de credenciais. Análises posteriores revelaram uma evolução tática do ator de ameaças em maio de 2026, com a introdução de ferramentas aprimoradas, incluindo uma nova variante do Stowaway RAT e utilitários de proxy que aumentam a furtividade e a capacidade de exfiltração.
Ao lado do malware GoSerpent, a cadeia de ataque incorpora ferramentas notáveis como ThumbcacheService, uma biblioteca de vínculo dinâmico (DLL) que suplementa o backdoor com um mecanismo sofisticado de coleta de arquivos. A arquitetura do ataque também depende de ferramentas estabelecidas de pós-exploração, como Mimikatz, para despejar a memória do subsistema de autoridade de segurança local (LSASS) e extrair material de credenciais, além de QuarksDumpLocalHash para a extração de hashes de senha de contas locais direto do registro SAM. A convergência desses utilitários sugere uma operação planejada para mover-se lateralmente pela rede e acessar recursos compartilhados, utilizando as credenciais comprometidas para facilitar a fuga de dados.
A campanha exibe sobreposições técnicas e operacionais significativas com o ator de ameaças conhecido como TetrisPhantom, descrito anteriormente como um grupo altamente qualificado e com recursos que explora drives USB seguros com criptografia de hardware. Paralelamente a essa descoberta, relatórios de inteligência destacaram uma operação distinta orquestrada pelo grupo DoNot Team, visando estabelecimentos militares e de defesa em Bangladesh. Embora os vetores iniciais possam variar, a convergência de alvos na região Ásia-Pacífico indica um cenário de ameaça ativo, onde múltiplos atores estão empregando técnicas avançadas para comprometer infraestruturas críticas de governo e defesa.
O funcionamento do malware GoSerpent inicia-se a partir da recepção de argumentos de linha de comando criptografados e codificados em Base64. Esses argumentos contêm o endereço do servidor de comando e controle (C2) e uma senha de comunicação. Uma vez recebidos, o malware decodifica e descriptografa essas informações para estabelecer uma conexão segura com o servidor C2. O mecanismo de criptografia utiliza o hash SHA256 da senha de comunicação como chave, garantindo que a sessão seja protegida contra interceptações passivas na rede. Após a autenticação no servidor, o backdoor aguarda comandos remotos para executar ações no sistema comprometido, funcionando como um pivô para o download e execução de módulos adicionais.
A cadeia de exploração prossegue com a implantação de ferramentas especializadas para diferentes etapas do ciclo de vida do ataque. Para a coleta de dados, o GoSerpent invoca o ThumbcacheService, que varre o sistema em busca de arquivos sensíveis e os prepara para exfiltração. O acesso a credenciais é facilitado pelo Mimikatz e pelo QuarksDumpLocalHash, que almejam o processo LSASS e o registro SAM, respectivamente, permitindo que os atacantes adquiram tokens de acesso para mover-se lateralmente pela rede sem levantar suspeitas de autenticação anômala. Para mascarar a origem do tráfego malicioso e acessar redes internas restritas, o malware configura servidores proxy SOCKS5 no host comprometido, roteando o tráfego atacante através da vítima.
Na segunda fase da campanha, observada em maio de 2026, os operadores retornaram aos ambientes já comprometidos para implantar uma nova geração de ferramentas. O Stowaway RAT, uma ferramenta de proxy e acesso remoto, foi introduzido com capacidades de encapsulamento de portas, túnel reverso e acesso shell remoto. Além disso, um módulo furtivo codificado em C++, denominado TmcLoader, foi utilizado para implantar o TmcPayload. Este último tem a função específica de exfiltrar os dados sensíveis que foram coletados discretamente nos meses anteriores, utilizando compartilhamentos de rede como canal de saída, uma técnica que dificulta a detecção por firewalls que normalmente não inspecionam tráfego interno alto volume.
Em paralelo, a atividade do DoNot Team revelou um fluxo de ataque distinto baseado em engenharia social. O vetor inicial é um e-mail de spear-phishing contendo um documento RTF (Rich Text Format) malicioso. Este documento emprega injeção de modelo remoto para buscar uma macro VBA de um servidor controlado pelo atacante. Uma característica notável é o uso de geofencing no lado do servidor, que restringe a entrega do payload apenas a vítimas localizadas dentro da região alvo, servindo modelos benignos para acessos não autorizados, o que evita a detecção por sistemas de arena ou pesquisadores fora da área geográfica. Uma vez executada, a macro injeta shellcode codificado em XOR através do abuso de API baseado em callback, que eventualmente carrega um segundo estágio DLL (ejtest.dll) para estabelecer persistência e comunicação C2.
Os alvos primários desta campanha são entidades governamentais e diplomáticas localizadas no Sudeste Asiático, com foco específico na região da Ásia-Pacífico (APAC). Ataques correlatos também visaram estabelecimentos militares e de defesa em Bangladesh, indicando que a superfície de ataque abrange redes classificadas e sistemas de informação crítica de Estado. A presença de ferramentas que exploram compartilhamentos de rede e credenciais de domínio sugere que, uma vez comprometido, o atacante busca acessar servidores de arquivos e controladores de domínio internos, expandindo a superfície afetada para além do ponto inicial de infecção.
Do ponto de vista técnico, os componentes afetados incluem estáções de trabalho Windows que processam documentos RTF ou executam binários Go não assinados. O processo LSASS é um alvo crítico, pois seu comprometimento via Mimikatz expõe as credenciais de todos os usuários e serviços autenticados na máquina. O registro SAM também está sob risco, potencializando a extração de hashes locais. Infraestruturas que permitem o uso de USBs seguros, como aqueles mencionados nas atividades do TetrisPhantom, representam um vetor físico de entrada e propagação que muitas vezes é negligenciado nas defesas tradicionais de rede.
- Estáções de trabalho e servidores de entidades governamentais e diplomáticas no Sudeste Asiático.
- Sistemas com acesso a compartilhamentos de rede e recursos sensíveis internos.
- Processo LSASS e registro SAM de máquinas Windows.
- Dispositivos de armazenamento USB com criptografia de hardware utilizados para transferência de dados.
- Gateways de e-mail que filtram documentos RTF com macros remotas.
A detecção dessa ameaça requer uma abordagem multifacetada que envolva monitoramento de endpoints, análise de rede e correlação de logs. As equipes de segurança devem procurar por processos suspeitos escritos em Go que estabeleçam conexões de rede externas não usuais, especialmente aquelas que utilizam portas comuns associadas a tráfego web ou SOCKS5. A presença da DLL ThumbcacheService sendo carregada por processos que não são do sistema operacional é um indicador forte de comprometimento. Além disso, tentativas de acesso ao processo LSASS por ferramentas não autorizadas devem gerar alertas imediatos de segurança.
A análise de logs de rede deve focar na identificação de tráfego proxy SOCKS5 não autorizado originando-se de estáções de trabalho internas. O uso inesperado de ferramentas de administração remotas, como o Mimikatz, deve ser bloqueado e investigado. Para a campanha do DoNot Team, a telemetria deve incluir a inspeção de documentos RTF que tentam baixar conteúdo externo via injeção de modelo remoto. Regras de detecção podem procurar por padrões de geofencing em requisições HTTP, onde o mesmo endpoint responde com payloads diferentes dependendo da origem geográfica do IP.
- Monitoramento de carregamento de DLLs não assinadas, como ThumbcacheService e ejtest.dll.
- Alertas sobre acesso de leitura ao processo LSASS e ao registro SAM por binários suspeitos.
- Detecção de tráfego SOCKS5 e encapsulamento de portas em hosts que não deveriam funcionar como proxy.
- Análise de documentos RTF com macros que baixam templates remotos ou utilizam injeção de shellcode.
- Hunting de tarefas agendadas (scheduled tasks) disfarçadas de telemetria de software legítimo, como OneDrive.
A contenção e mitigação dessas ameaças exigem a aplicação rigorosa de princípios de segurança defensiva. A primeira linha de defesa envolve a restrição da execução de macros em documentos do Office e o bloqueio de anexos RTF oriundos de fontes externas não confiáveis no perimeter de e-mail. A implantação de soluções de proteção de endpoint (EDR) capazes de bloquear o acesso não autorizado ao LSASS e de detectar comportamentos de injeção de processos é essencial. Políticas de controle de dispositivos USB, incluindo a auditoria e o bloqueio de pendrives não autorizados, ajudam a mitigar o vetor físico observado em campanhas correlatas como a do TetrisPhantom.
Em nível de rede, a segmentação de rede deve ser aplicada para isolar sistemas críticos e limitar a capacidade de movimento lateral dos atacantes, mesmo que credenciais válidas sejam comprometidas. O uso de autenticação multifatorial (MFA) robusto dificulta o uso abusivo de credenciais despejadas pelo Mimikatz. Finalmente, a revisão e o endurecimento de tarefas agendadas no sistema, removendo permissões excessivas e monitorando criações novas, impedem a persistência tática utilizada por grupos como o DoNot Team.
- Restringir ou desabilitar macros em aplicativos de produtividade para usuários em alto risco.
- Implementar regras de redução de superfície de ataque (ASR) para bloquear o roubo de credenciais e o abuso do LSASS.
- Segmentar a rede para restringir o tráfego lateral entre estáções de trabalho e servidores sensíveis.
- Controlar o uso de dispositivos USB e auditar o acesso a drives removíveis.
- Monitorar e validar tarefas agendadas, verificando assinaturas digitais e ações de execução.
0 Comentários