
Uma ameaça avançada atribuída a um ator vinculado à China utiliza técnicas obscuras de hijacking de TCP e manipulação de layout de teclado para manter persistência furtiva por mais de uma década em ambientes corporativos.
| Componente | Rootkit em modo de núcleo Daxin (srt64.sys) e backdoor de usuário Stupig (kbdus1.dll/a.dll) |
| Vetor | Sequestro de conexões TCP existentes para C2 (Daxin) e registro malicioso como provedor de layout de teclado carregado pelo winlogon.exe (Stupig) |
| Impacto | Execução de comandos com privilégios de SYSTEM antes da autenticação de usuário, movimentação lateral em segmentos de rede isolados e evasão de auditoria de eventos de login |
| Prioridade | Auditoria de integridade de drivers de kernel e layouts de teclado, além da atualização de portais SSO legados dependentes de Java antigo |
Pesquisadores de ameaças identificaram a reemergência do malware Daxin, um rootkit de modo de núcleo anteriormente documentado, operando em conjunto com um backdoor inédito chamado Stupig. A atividade foi detectada em uma subsidiária de fabricação de alta tecnologia no Taipé em 2026, embora os artefatos binários analisados apresentem carimbos de compilação datados de 2013. Essa discrepância sugere que a ferramenta permaneceu dormente ou não detectada por um período extensivo, apontando para uma operação de espionagem cibernética de longo prazo focada em infraestruturas críticas e setores governamentais.
A co-deployção do Daxin e do Stupig no mesmo host indica uma estratégia ofensiva altamente especializada. Enquanto o Daxin fornece capacidades de comunicação de comando e controle (C2) que se camuflam no tráfego de rede legítimo, o Stupig oferece um mecanismo de acesso persistente e de alto privilégio que antecede o processo de login do usuário. A combinação desses vetores permite que os operadores mantenham acesso contínuo e evasivo, contornando as defesas perimetrais tradicionais e mecanismos de auditoria padrão do Windows. A análise técnica sugere que, apesar da ausência de sobreposição de código entre os dois malwares, a similaridade nas práticas de desenvolvimento e a coincidência de carimbos de tempo apontam para um mesmo autor ou grupo de ameaças coordenado.
O Daxin funciona como um driver de modo de núcleo (srt64.sys) projetado para operar com o máximo de furtividade na camada de rede. Ao contrário da maioria dos backdoors, que iniciam conexões de saída direta para servidores controlados pelo adversário, o Daxin monitora passivamente o tráfego TCP de entrada em busca de padrões específicos predefinidos. Ao identificar uma correspondência, o malware sequestra a conexão legítima já estabelecida para tunnelar comunicações C2 criptografadas. Essa técnica permite que o tráfego malicioso se misture perfeitamente com o fluxo de dados autorizado, tornando a detecção por meio de monitoramento de rede convencional excepcionalmente difícil.
Além do sequestro de conexão, o Daxin possui capacidades avançadas de propagação interna. O malware é equipado para suportar comunicações multi-hop através de cadeias de hosts infectados. Isso permite que os operadores alcancem sistemas em segmentos de rede isolados ou fisicamente desconectados da internet, usando máquinas comprometidas como pontes. A arquitetura do malware capacita o ator da ameaça a navegar lateralmente pela rede corporativa, transcendendo as tradicionais barreiras de segmentação de rede que geralmente contêm violações de segurança.
O backdoor Stupig representa uma inovação significativa na persistência de malware, utilizando uma técnica não documentada em outras famílias conhecidas. O componente é uma DLL que se registra como um provedor de layout de teclado, forçando o sistema (win32k.sys) a carregá-lo dentro do processo winlogon.exe durante a inicialização. Ao fazer isso, o malware garante execução persistente com privilégios de SYSTEM. Para evitar suspeitas, a DLL retorna um ponteiro KBDTABLES válido, assegurando que o funcionamento do teclado permaneça normal e que inspeções administrativas de rotina não revealham anomalias óbvias.
A funcionalidade mais crítica do Stupig é sua capacidade de interação antes do login. Uma vez ativo dentro do winlogon.exe, o backdoor monitora a tela de login do Windows em busca de nomes de usuário que comecem com a string stupig. Quando esse prefixo é inserido no campo de username, qualquer string subsequente é interpretada como um comando e executada imediatamente com privilégios de SYSTEM. Se nenhum comando for fornecido após o prefixo, o componente spawnar uma sessão de prompt de comando como SYSTEM diretamente na tela de login. Esse mecanismo bypassa os eventos de auditoria de login padrão, concedendo aos atacantes controle total da máquina sem que uma conta de usuário válida seja autenticada.
A investigação do incidente aponta para o comprometimento de uma versão desatualizada do portal de login único (SSO) da Digiwin como o provável vetor inicial de acesso. Esse sistema legado estava utilizando instalações do Java Development Kit (JDK) 1.5 e 1.6, versões que atingiram o fim da vida útil entre 2009 e 2011. A dependência de software obsoleto crítico cria uma superfície de ataque viável para a exploração de vulnerabilidades conhecidas, permitindo o acesso inicial à rede corporativa.
O alvo específico deste incidente foi uma subsidiária de um fabricante multinacional de alta tecnologia com base no Taipé. No entanto, o histórico do Daxin, que data de pelo menos 2013, mostra uma preferência por alvos de alto valor, incluindo governos e infraestruturas críticas. A descoberta de binários compilados em 2013 operando ativamente em 2026 sugere que algumas organizações podem abrigar esses Threats por longos períodos sem detecção, destacando a necessidade de controles de segurança profundos que vão além da varredura perimetral.
A detecção do Stupig requer a análise de chaves de registro que definem provedores de layout de teclado. Equipes de segurança devem investigar chaves sob HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layouts em busca de DLLs não assinadas ou que não correspondam a layouts de teclado legítimos, como a mascarada kbdus1.dll que imita kbdus.dll. A presença de arquivos como srt64.sys na lista de drivers do sistema também é um indicador crítico de comprometimento, dada a natureza do rootkit Daxin.
Na camada de rede, a caça a ameaças deve focar na identificação de anomalias em fluxos TCP estabelecidos. Como o Daxin sequestra conexões legítimas para C2, a análise deve procurar padrões de tráfego que, embora iniciados legitimamente, exibam características de dados transferidos que não correspondem ao protocolo esperado ou que demonstrem interatividade de comando e resposta. Logs de endpoints deve ser inspecionados quanto a atividade de processos filhos gerados por winlogon.exe, especialmente instâncias de comando operacional omitido ou comando operacional omitido que ocorram antes da autenticação do usuário.
A resposta a este tipo de comprometimento de modo de núcleo e persistência de sistema exige uma abordagem agressiva. Devido à capacidade do rootkit de ocultar atividades e manipular o sistema operacional, a reimageação da máquina comprometida é a única garantia confiável de remoção. A tentativa de limpeza manual de drivers de rootkits ativos é propensa a falhas e pode deixar componentes residuais que restauram o acesso do atacante.
As equipes de segurança devem priorizar a inventariação e atualização de aplicações web legadas, especialmente portais SSO que dependem de versões do Java JDK que não são mais suportadas. A aplicação de segmentação de rede rigorosa e o monitoramento de tráfego leste-oeste podem ajudar a limitar a capacidade de movimento lateral do malware. Além disso, a implementação de regras de detecção comportamental que alertam sobre a modificação de layouts de teclado e o carregamento de DLLs em processos críticos do sistema como winlogon.exe é essencial para interromper a cadeia de ataque antes que o adversário estabeleça o acesso ao nível de SYSTEM.
0 Comentários