Nos últimos meses, foi observado um movimento perturbador no mapa da ciberespionagem: um ator conhecido como UnsolicitedBooker O foco foi deslocado e agora dirige operações contra provedores de telecomunicações no Quirguistão e no Tajiquistão, após uma fase prévia em que suas atividades se centraram em entidades sauditas. O relatório da assinatura russa Positive Technologies fornece uma radiografia detalhada dessas invasões e descreve o emprego de duas portas traseiras escritas em C++ que recebem o nome de LuciDoor e MarsSnake, além dos carregadores que as entregam nos sistemas comprometidos ( Relatório de Positive Technologies).
A cadeia de ataque usada pelo grupo é clássica, mas eficaz: os atacantes enviam e-mails de phishing que incluem um documento do Microsoft Office como senheiro. Ao abri-lo, a vítima recebe a petição habitual de activar as macros —e botão de " Enable Content" que tantos problemas causa— e, uma vez ativadas, o macro deixa cair um pequeno carregador em C++ (LuciLoad ou MarsSnakeLoader) que por sua vez instala a porta traseira correspondente.
Do ponto de vista técnico, ambas as portas traseiras realizam funções habituais em campanhas de espionagem: coletam metadados do sistema, estabelecem comunicação com um servidor de comando e controle (C2), exfiltran informações de forma cifrada e aceitam instruções remotas para executar comandos, escrever ou extrair arquivos. Embora suas capacidades sejam semelhantes, os analistas destacam mudanças tácticos no tempo: o ator começou usando LuciDoor, passou a MarsSnake e, já em 2026, retornou ao primeiro implante, o que sugere adaptações operacionais e testes de eficácia.
Há outros detalhes relevantes na pesquisa. Em alguns incidentes, MarsSnake foi implantado sem necessidade de um carregador intermediário: o ponto de início foi um acesso direto do Windows (*.doc.lnk) que simulava um documento do Word, executava um script por lotes que invocava um Visual Basic Script e assim lançava a porta traseira. Positive Technologies liga essa técnica com uma ferramenta pública de pentesting chamada FTPlnk_phishing, devido a coincidências em marcadores forenses como a hora de criação do LNK e o identificador de máquina.
Os pesquisadores também apontam uma mistura curiosa de origens das ferramentas: muitas parecem ter raízes ou inspiração em desenvolvimentos chineses, algo pouco frequente nas campanhas que as vítimas enfrentam. Além disso, em pelo menos um caso os atacantes utilizaram um roteador comprometido como servidor C2 e, segundo o relatório, parte de sua infraestrutura imitou características de redes russas, uma tática destinada a despistar possíveis investigações sobre a origem real do ataque.
Este ator não aparece do nada: ESET já havia documentado em 2025 a UnsolicitedBooker quando detectou uma operação que afetou uma organização internacional na Arábia Saudita empregando MarsSnake. O histórico do grupo, com atividade atribuída desde março de 2023, mostra uma orientação geográfica ampla que inclui a Ásia, África e Oriente Médio, e traços operacionais que se sobrepõem com outros clusters de ameaças, como o Space Pirates e campanhas atribuídas a outros backdoors como Zardoor.
O fenômeno não se limita a este ator. Paralelamente, a comunidade de segurança tem documentado táticas de suplantação e mimetismo entre grupos: emergiu uma entidade batizada por pesquisadores russos como PseudoSticky, que parece imitar um coletivo pró-ucraniano chamado Sticky Werewolf e tem dirigido ataques contra organizações russas usando troianos como RemcosRAT e DarkTrack RAT. Os analistas de F6 acreditam que a similaridade é deliberada e que, apesar da aparência, existem diferenças claras em infraestrutura e metodologia que indicam ausência de vínculo direto entre os clusters.
Outro ator, identificado como Cloud Atlas, usou modelos remotos em documentos Word para explorar vulnerabilidades conhecidas — um modus operandi que lembra campanhas anteriores — e distribuir malware como VBShower e VBCloud. A empresa Solar descreve como os documentos maliciosos carregam modelos remotos de um C2 e exploram vulnerabilidades como CVE-2018-0802 para iniciar a cadeia de compromisso ( Análise Solar).
O que destaca neste conjunto de incidentes é a persistência do vetor inicial: a combinação de engenharia social com artefatos ofimáticos continua funcionando porque os usuários continuam habilitando macros ou abrindo ligações e arquivos sem verificar sua origem. Além disso, o uso de carregadores em C++ e variantes que evitam a fase intermediária demonstram que os atacantes buscam flexibilidade para sortear defesas tradicionais baseadas em assinaturas.
Para organizações, nomeadamente para fornecedores de telecomunicações que gerem infra-estruturas críticas e grandes volumes de dados, as lições práticas são claras. É imprescindível endurecer as políticas de gestão de documentos entrantes, desativar as macros por defeito e educar os equipamentos sobre senheiros específicos (por exemplo, tarifas ou contratos falsos dirigidos a pessoal de facturação). A segmentação de redes, o emprego de detecção de anomalias no tráfego saliente e o monitoramento de logs em dispositivos de borda, como roteadores, ajudam a detectar servidores C2 que usam equipamentos comprometidos.
Os equipamentos de resposta a incidentes também devem manter rotinas de análise de artefatos: comparar metadados (fechas de criação de arquivos LNK, Machine IDs), identificar carregamentos persistentes e verificar se são usados modelos remotos em documentos Office. Os relatórios públicos de empresas de segurança continuam a ser um guia valioso para reconhecer indicadores de compromisso e táticas emergentes; além da análise de Positive Technologies, vale a pena consultar material de referência geral sobre ameaças e práticas de mitigação em recursos como o portal de pesquisa ESET ( WeLiveSecurity) e análise histórica sobre campanhas com LNKs como o publicado por Darktrace.
Num cenário de ameaças onde os atores mudam táticas e se copiam entre si, a combinação de boas práticas tecnológicas, consciência contínua e acesso a inteligência de código aberto é a melhor defesa para conter invasões que, como as protagonizadas por UnsolicitedBooker, buscam aproveitar uma janela humana para libertar implantes sofisticados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...