Subgrupo GoldenEyeDog é Associado a Violação na DigiCert e Roubo de Certificados de Assinatura de Código

Subgrupo GoldenEyeDog é Associado a Violação na DigiCert e Roubo de Certificados de Assinatura de Código

Pesquisadores atribuem o incidente de 2026 ao cluster CylindricalCanine, que explorou o portal de suporte da autoridade certificadora para acessar códigos de inicialização e emitir certificados fraudulentos usados para assinar malware.

ComponentePortal de suporte da DigiCert, certificados EV Code Signing, Golden Gh0st RAT (variante do Gh0st RAT)
VetorPhishing via chat de suporte ao cliente entregando arquivo ZIP com executável.scr malicioso, seguido pelo abuso de função de 'visualização como cliente' para extrair códigos de inicialização de certificados.
ImpactoEmissão fraudulenta de certificados de assinatura de código para o atacante, permitindo a assinatura de malware (Zhong Stealer) e evasão de controles de segurança em sistemas alvo.
PrioridadeRevisar e mascarar códigos de inicialização em portais de suporte, bloquear executáveis.scr em canais de comunicação e monitorar a assinatura de código por emissor não autorizado.
Resumo técnico

Pesquisadores de segurança cibernética atribuíram o incidente de segurança ocorrido na DigiCert em abril de 2026 a um cluster de atividades de ameaças denominado CylindricalCanine. Este grupo é identificado como um subgrupo do GoldenEyeDog (também rastreado como APT-Q-27, Dragon Breath e Miuuti Group), uma organização de cibercrime com origem na China, conhecida por direcionar seus ataques aos setores de jogos de azar e jogos online. A tática recorrente deste ator envolve o uso de sites falsificados para distribuir software infectado com malware, estando ativo pelo menos desde 2015. O ataque contra a DigiCert demonstrou a capacidade sofisticada do grupo em comprometer provedores de infraestrutura crítica para a cadeia de confiança digital.

O núcleo das operações desse ator é uma versão modificada do Gh0st RAT (rastreado como Farfli), um cavalo de Troia de acesso remoto amplamente utilizado por grupos de hackers chineses, incluindo outro grupo prolífico conhecido como Silver Fox. Está variante modular, batizada de Golden Gh0st RAT, é distribuída por meio de um carregador chamado Golden Gh0st Loader. A análise técnica revela que o CylindricalCanine tem como foco principal o uso de certificados de assinatura de código roubados para assinar seus próprios malwares, o que lhes permite contornar mecanismos de detecção baseados em reputação de assinatura digital.

Fluxo técnico

A cadeia de ataque contra a DigiCert começou em abril de 2026, quando o ator de ameaças contatou a equipe de suporte por meio de um canal de chat da empresa. Nessa interação, o atacante enviou um arquivo ZIP disfarçado de captura de tela de um cliente. Dentro do arquivo compactado, havia um executável com a extensão.scr que continha um payload malicioso. Uma vez executado no dispositivo de um membro da equipe de suporte, o malware permitiu que os invasores obtivessem acesso não autorizado à conta do analista no portal de suporte da autoridade certificadora.

Com o acesso estabelecido, o grupo explorou uma função específica do portal de suporte que permite que analistas autenticados acessem contas de clientes da perspectiva do próprio cliente para facilitar tarefas de assistência. Os invasores utilizaram essa funcionalidade para visualizar códigos de inicialização de pedidos de certificados de assinatura de código EV (Extended Validation) que haviam sido aprovados, mas estavam pendentes de entrega. A falha crítica no modelo de segurança da empresa era que a posse de um código de inicialização, combinada com um pedido aprovado, era 'suficiente funcionalmente' para a emissão dos certificados. O ator conseguiu, assim, acessar os códigos e emitir certificados válidos para diferentes contas de clientes.

Paralelamente à infraestrutura de assinatura de código, o grupo emprega o Golden Gh0st RAT. A carga final é desencadeada por uma cadeia de side-loading de DLL. O ataque usa um executável legítimo para carregar uma DLL maliciosa, simulando simultaneamente a abertura de um documento PDF isca que exibe um erro HTTP 503 'Service Unavailable' para enganar a vítima. A DLL maliciosa carrega um payload criptografado, identificado como 'update.log', que implanta o RAT. O Golden Gh0st RAT possui uma ampla gama de funcionalidades, incluindo estabelecimento de persistência, roubo de dados sensíveis, criação de túnel proxy SOCKS, supressão de saída de vídeo, registro de teclas, captura de tela, enumeração de processos e execução de comandos de shell.

Superfície afetada

A violação na DigiComp resultou na revogação de 60 certificados emitidos fraudulentamente. Desses, 27 foram explicitamente vinculados ao ator de ameaças e foram utilizados para assinar artefatos do malware Zhong Stealer. A infraestrutura comprometida incluiu estáções de trabalho de analistas de suporte que processam arquivos de clientes através de canais de chat. Além da DigiCert, o grupo GoldenEyeDog e seu subgrupo CylindricalCanine continuam visando alvos no setor financeiro e de jogos na região Ásia-Pacífico, utilizando sites falsos e campanhas de phishing direcionadas.

O malware Golden Gh0st RAT coleta dados especificamente de navegadores e aplicativos de comunicação populares na região, incluindo Skype, Google Chrome, Mozilla Firefox, 360 Secure Browser, 360 Speed Browser e Tencent QQ Browser. A capacidade de assinar código malicioso com certificados válidos roubados expande significativamente a superfície de ataque, permitindo que o malware seja executado em ambientes corporativos que confiam apenas em software assinado por autoridades certificadoras reconhecidas.

  • Certificados de Assinatura de Código EV emitidos fraudulentamente.
  • Estáções de trabalho de suporte técnico com acesso a portais web de gestão.
  • Ambientes Windows onde ocorre o side-loading de DLL e execução de scripts.scr.
  • Navegadores web e clientes de mensageiros instantâneos no setor de jogos e finanças.
Hunting e telemetria

A detecção de atividades associadas ao CylindricalCanine requer monitoramento de anomalias no uso de certificados de assinatura de código, especialmente emissões de certificados EV que ocorrem rapidamente após a visualização de pedidos por contas de suporte. Analistas devem procurar por arquivos recebidos em canais de suporte que contenham extensões suspeitas, como.scr dentro de arquivos ZIP, e monitorar o processo de side-loading de DLL, onde executáveis legítimos carregam bibliotecas de origem duvidosa.

Na telemetria de endpoint, a presença de arquivos isca exibindo erros HTTP 503, seguidos pelo carregamento de payloads criptografados nomeados como 'update.log', é um indicador forte de comprometimento. O comportamento do RAT, que inclui a limpeza de logs de eventos do Windows e a supressão de saídas de exibição, pode ser observado através da interrupção de serviços de auditoria e o uso de APIs de sistema para manipulação de janelas. Certificados válidos assinando binários desconhecidos ou sem reputação também devem ser investigados como potenciais sinais de certificados comprometidos.

  • Arquivos.scr executáveis recebidos via chat ou e-mail de suporte.
  • Eventos de side-loading de DLL envolvendo executáveis legítimos e DLLs não assinadas.
  • Tráfego de rede consistente com túneis proxy SOCKS para C2s desconhecidos.
  • Certificados de código EV emitidos em sequência para diferentes entidades pelo mesmo solicitante.
  • Binários assinados validamente que exibem comportamento de RAT (captura de tela, keylogging).
Mitigação

Como resposta imediata ao incidente, a autoridade certificadora implementou uma alteração de código para mascarar códigos de inicialização de usuários que acessam o portal através de funções de proxy, tanto na interface do usuário (UI) quanto na API, nas plataformas da União Europeia e dos Estados Unidos. Organizações que utilizam portais de suporte com funções de representação de usuário devem revisar seus controles de acesso para garantir que credenciais sensíveis ou códigos de ativação não sejam expostos a contas de suporte, mesmo que autenticadas.

Defensivamente, as equipes de segurança devem bloquear a execução de arquivos.scr em estáções de trabalho, especialmente aquelas usadas por equipes de atendimento ao cliente que aceitam uploads de usuários. A implementação de regras de aplicação (AppLocker) para permitir apenas DLLs assinadas e Whitelisting de software pode mitigar o vetor de side-loading. A revisão regrada de logs de emissão de certificados e a revogação imediata de qualquer certificado suspeito são essenciais para manter a integridade da cadeia de confiança. Além disso, soluções EDR devem ser configuradas para detectar a injeção de processos e a limpeza de logs de eventos, táticas comuns do Gh0st RAT.

  • Restringir visualização de códigos de inicialização e chaves API em contas de suporte.
  • Bloquear extensões de arquivo de alto risco (.scr,.bat,.cmd) em canais de entrada.
  • Implementar controle de aplicação para prevenir side-loading de DLL não autorizado.
  • Monitorar e auditar em tempo real a emissão de novos certificados de código.
  • Reforçar a autenticação multifatorial (MFA) para acessos remotos a portais internos.

Postar um comentário

0 Comentários