No que já se perfila como outra campanha dirigida à coluna vertebral das comunicações, pesquisadores da Cisco Talos detectaram desde 2024 uma série de invasões focadas em fornecedores de telecomunicações na América do Sul. O adversário, identificado por Talos como UAT-9244, desenvolve ferramentas concebidas para se infiltrar em servidores Windows, sistemas Linux embebidos e equipamentos de borda de rede, o que põe em risco não só a confidencialidade de dados, mas a disponibilidade de serviços críticos que dependem dessa infraestrutura.
O relatório de Talos, disponível publicamente, descreve três famílias de implantes que não tinham sido documentadas anteriormente e que atuam em diferentes níveis do ecossistema: uma porta traseira para máquinas Windows, outra para Linux com arquitetura peer-to-peer e um scanner de força bruta concebido para converter equipamentos de borda em nodos de ataque. Você pode consultar a análise técnica no blog da Cisco Talos para ver os indicadores e as observações completas: https://blog.talosintelligence.com/uat-9244/.
No Windows a ameaça aparece sob o nome TernDoor. A técnica escolhida pelo atacante é a de carregar uma livraria maliciosa por uma execução legítima do sistema - um método conhecido como DLL side-loading - aproveitando o binário wsprint.exe para executar um DLL troceado que decifra e lança o payload final em memória. Para se manter no sistema, a amostra emprega mecanismos tradicionais de persistência como tarefas agendadas ou entradas na chave Run do Registro. Além disso, esta porta traseira incorpora um condutor (driver) pensado para suspender, retomar ou terminar processos, e dispõe de um interruptor de desinstalação que apaga seus restos da equipe se invoca.
No mundo Linux, a peça central é PeerTime, um backdoor com um design notavelmente flexível: é compilado para arquiteturas como ARM, AARCH64, PowerPC e MIPS para cobrir roteadores, gateways e outros sistemas embebidos. A sua implantação geralmente inclui um binário instrumentador que comprova a presença de Docker antes de carregar o carregador de PeerTime, e até contém cadeias de depuração em chinês simplificado, um detalhe que chamou a atenção dos analistas. O loader desencripta e descomprime o payload em memória e a comunicação de controle utiliza um mecanismo peer-to‐peer baseado no protocolo BitTorrent para distribuir informações de comando e controle e para obter módulos adicionais a partir de outros nós comprometidos.
Finalmente, na periferia da rede os atacantes colocam um componente apodado BruteEntry. Trata-se de um conjunto de scripts e binários em Go que transformam roteadores e dispositivos de borda no que os pesquisadores chamam de um Operational Relay Box (ORB): nós nodos que digitalizam em massa e executam ataques de força bruta contra serviços como Postgres, SSH ou servidores Tomcat. O fluxo de trabalho descrito por Talos mostra um orquestrador que entrega o scanner e que consulta o servidor de comando e controle a lista de objetivos; quando a credencial é válida, o resultado é relatado de volta para sua exploração.
Talos aponta ainda sobreposições táticos com outro cluster identificado como FamousSparrow e com o grupo apodado Salt Typhoon, conhecido por seu interesse em operadores de telecomunicações, embora os pesquisadores deixam claro que não há provas conclusivas que permitam afirmar que se trate exatamente do mesmo ator. Este detalhe aponta uma realidade problemática: diferentes equipamentos com capacidades semelhantes e objetivos semelhantes podem operar de forma paralela ou trocar ferramentas, o que complica atribuições rápidas e seguras.
O vetor de entrada inicial não está totalmente estabelecido no relatório, mas os precedentes deste ator e outros semelhantes sugerem que sistemas desatualizados - por exemplo servidores Windows ou instâncias expostas do Microsoft Exchange - têm sido alvo frequente para colocar a web shells e escalar atividade. Por isso, a superfície de risco continua a ser a mesma: software sem adesivos, dispositivos de borda mal configurados e canais de administração expostos.
Do ponto de vista operacional, a campanha combina técnicas tradicionais e algumas de mais nível: a carga em memória e o uso de drivers para ocultação no Windows, o uso de BitTorrent em Linux para descentralizar a entrega de comandos, e a exploração de dispositivos edge para amplificar digitalização e ataques de força bruta. Esse cruzamento de aproximações faz com que a detecção não seja trivial; muitos dos sinais anormais podem ser confundidos com tráfego legítimo ou com ferramentas de administração remota mal configuradas.
Para quem administra redes de telecomunicações — ou qualquer infraestrutura crítica — isto significa que há que reforçar várias camadas ao mesmo tempo: manter sistemas totalmente atualizados, segmentar o tráfego de administração, endurecer credenciais e acessos remotos, e aplicar controles de comportamento que detectem execução de código em memória, cargas anormais por processos legítimos como wsprint.exe ou msiexec.exe, e comunicação BitTorrent inesperada a partir de servidores empresariais. Também é importante auditar e proteger dispositivos de borda; são precisamente esses equipamentos que, quando ficam comprometidos, podem se tornar alavancas para escalar ataques ou relés para campanhas massivas.
Se você procura contextualizar este tipo de ameaças dentro de um quadro maior de táticas e técnicas, a matriz MITRE ATT&CK é uma boa referência para entender as técnicas habituais que empregam os atores persistentes; seu material ajuda a mapear deteções e controles frente a táticas como carga lateral de livrarias, persistência ou uso de protocolos não convencionais para C2: https://attack.mitre.org/. Para uma visão de ameaças mais amplas sobre como os adversários apontam para setores críticos, relatórios de agências e organismos de cibersegurança como a Agência da União Europeia para a Cibersegurança (ENISA) oferecem análises anuais e recomendações úteis: https://www.enisa.europa.eu.
Em última análise, a descoberta de Talos sublinha que os prestadores de serviços de telecomunicações continuam a ser objectivos atraentes para grupos com recursos. A troca de ferramentas e a reutilização de táticas entre clusters fazem com que a defesa dessas redes deva ser proativa, em camadas e preparada para detectar comportamentos além de apenas assinaturas conhecidas. E embora as pesquisas técnicas como a da Cisco ajudem a identificar indicadores concretos, a mitigação real passa por manter higiene de cibersegurança, visibilidade sobre o tráfego e a execução em memória, e procedimentos de resposta que permitam neutralizar nodos comprometidos antes de se tornarem plataformas de ataque mais amplas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...