A recente pesquisa de segurança pública Palo Alto Networks Unit 42 descreve uma campanha sofisticada e sustentada dirigida contra uma instituição governamental do Sudeste Asiático, e coloca sobre a mesa um dado inquietante: múltiplos clusters de atividade, com vínculos a atores alinhados com a China, atuaram simultaneamente ou sobreposições com objetivos que parecem convergir na obtenção de acesso a longo prazo a redes sensíveis.
De acordo com os analistas Doel Santos e Hiroaki Hara de Unit 42, identificaram-se três agrupamentos principais que operaram em diferentes períodos de 2025 e que, embora nem sempre empregassem as mesmas ferramentas, mostraram uma “coincidência significativa em táticas, técnicas e procedimentos” que sugere coordenação ou interesses estratégicos comuns. Estes agrupamentos incluem a conhecida como Mustang Panda, ativa entre junho e agosto de 2025, e dois clusters denominados internamente CL-STA-1048 (com sobreposições documentadas publicamente em campanhas chamadas Earth Estries e Crimson Palace) e CL-STA-1049 (que mostrou relação com o relatado como Unfading Sea Haze). Para quem quiser consultar a fonte original, o trabalho de Unit 42 está disponível no site de Palo Alto Networks: https://unit42.paloaltonetworks.com/.
Os ataques lançaram uma variedade de famílias de malware com funcionalidades orientadas para a intrusão prolongada: desde carregadores que aproveitam dispositivos USB até loaders que funcionam por DLL side-loading; desde backdoors com amplas capacidades de administração remota até “stealers” especializados em coletar credenciais e artefatos de usuário. Entre as ferramentas mencionadas pelos pesquisadores figuram HIUPAN (também conhecido como USBFect ou U2DiskWatch), que foi usado para iniciar infecções via unidades USB e facilitar a entrega do backdoor PUBLOAD por um DLL malicioso apodado Claimloader. Mustang Panda também usou backdoors como COOLCLIENT, que permite transferência de arquivos, registro de pulsações e tunelização de tráfego, capacidades que persistem no tempo e facilitam o movimento lateral.
O cluster CL-STA-1048, por sua vez, utilizou componentes da família EggStreme, como EggStremeFuel — um backdoor leve com funções de transferência de arquivos, enumeração de sistema e execução de shells inversos— e EggStremeLoader, que estende essas capacidades admitindo dezenas de comandos remotos para exfiltrar dados. Junto com eles foram detectados troianos de acesso remoto como MASOL RAT (Backdr‐NQ) e utilitários de roubo de informações como TrackBak, capazes de coletar registros, dados da área de transferência, informações de rede e arquivos armazenados em discos. Estas peças, combinadas, permitem tanto a coleta maciça de informações quanto a administração permanente da equipe comprometida.
No caso de CL-STA-1049, os atacantes usaram um novo carregador de DLL chamado Hypnosis Loader, que é ativado por técnicas de DLL side-loading para finalmente implantar FluffyGh0st RAT. O uso de side-loading e vetores físicos como USB enfatiza a mistura de técnicas clássicas e novedosas: enquanto algumas intrusões se apoiam na engenharia social e o abuso de funcionalidades legítimas do sistema operacional, outras recorrem a meios fora de linha para saltar controles de perímetro.
Para além dos nomes e componentes técnicos, o que torna particularmente preocupante a campanha é o seu aparente propósito: não se tratou de sabotagem pontual, mas sim de estabelecer e manter acessos persistentes em redes governamentais, o que permite vigilância continuada, exfiltração de informação sensível e capacidade de se reagrupar ou reativar operações no futuro. Essa característica encaixa com padrões de atividade observados em operações patrocinadas por estados, que priorizam o controle a longo prazo sobre a interrupção imediata. Aqueles que querem aprofundar o contexto mais amplo de ameaças estatais e suas táticas podem rever recursos de referência como o MITRE ATT&CK em https://attack.mitre.org/ e análises de atores patrocinados publicados por equipes de resposta e ameaças em empresas de cibersegurança e fabricantes de software.
Para as organizações que gerem redes críticas, a lição é dupla: primeiro, a defesa deve contemplar vetores físicos e difíceis de mitigar como dispositivos USB infiltrados, pelo que políticas claras sobre dispositivos removíveis, controles de autorun e procedimentos de inspeção física são básicos. Segundo, há que assumir que os atacantes tentarão estabelecer persistência utilizando mecanismos legítimos do sistema – como DLL side-loading ou serviços autorizados – e, portanto, a detecção requer telemetria rica, correlação de eventos e busca proativa de anomalias. Adicionar autenticação forte, segmentação de redes, controle estrito de privilégios e cópias de segurança verificadas reduz a superfície de impacto e acelera a recuperação.
Esta investigação também demonstra a importância da partilha de informações e da colaboração entre equipas locais, prestadores de segurança e agências nacionais. As técnicas e ferramentas que Unit 42 tem detalhado podem ajudar as equipes de resposta a incidentes a identificar indicadores de comprometimento e padrões de comportamento semelhantes em outras redes. Para diretrizes práticas sobre detecção e resposta a ameaças persistentes, a Agência de Segurança de Infra-estruturas dos EUA (CISA) e grandes provedores de segurança publicam guias e avisos que podem ser consultados em https://www.cisa.gov/ e nos blogues de segurança corporativos, como o da Microsoft https://www.microsoft.com/security/blog/.
Em suma, o caso descrito por Unit 42 ilustra como atores com recursos amplos e objetivos estratégicos empregam um conjunto diversificado de ferramentas e técnicas para se infiltrar e permanecer dentro de redes governamentais. A convergência de vários clusters com sobreposições técnicas e temporárias aponta para um esforço coordenado para manter vigilância e acesso contínuo, não a operações isoladas orientadas apenas a danos pontuais. Manter-se alerta, atualizar defesas e compartilhar informações são passos imprescindíveis para reduzir a janela de exposição frente a essas campanhas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...