Uma equipe de pesquisa de ameaças documenta uma operação de ciberespionagem dirigida contra organizações militares do sudeste asiático que, segundo as evidências, remonta ao menos a 2020. Os analistas que assinam o relatório Unit 42 de Palo Alto Networks agrupam esta atividade como CL-STA-1087: uma família de intrusões com indícios de patrocínio estatal e um padrão consistente de coleta seletiva de inteligência.
O que distingue esta campanha não é a massa de dados roubados, mas a precisão com que os atacantes procuraram documentos concretos —relatórios sobre capacidades operacionais, estruturas organizativas e registos de colaborações com exércitos ocidentais — em vez de se apropriar de grandes volumes de informação irrelevante. Essa busca deliberada aponta para fins de inteligência que poderiam alimentar análises estratégicas e planejamento militar.
Do ponto de vista técnico, a operação mostra traços característicos de grupos APT: cargas úteis projetadas à medida, infraestruturas de comando e controle estáveis, técnicas de evasão de defesas e cadeias de execução em várias fases que facilitam acesso persistente e sigiloso a sistemas comprometidos. Entre as ferramentas identificadas aparecem os backdoors conhecidos como AppleChris e MemFun, e um extrator de credenciais batizado como Getpass, uma variante personalizada da conhecida utilidade Mimikatz ( Repositório de Mimikatz).
Uma das páginas operacionais interessantes é o uso de serviços públicos como repositórios para esconder a localização real dos servidores de comando e controle. Tanto AppleChris como MemFun recuperam endereços de C2 armazenados em publicações Pastebin (um “dead drop resolver” segundo a taxonomia do MITRE), codificadas em Base64; uma variante mesmo usa o Dropbox como fonte principal e Pastebin apenas como respaldo. Essas publicações rastreáveis datam de setembro de 2020, o que ajuda a caracterizar a longevidade da operação.
O modo de introdução da persistência inclui técnicas conhecidas, mas ainda eficazes para contornar os controlos: o AppleChris pode ser ativado através DLL hijacking, e oferece funcionalidades como exploração de discos, listagem de pastas, transferência de ficheiros, execução remota de comandos e criação silenciosa de processos. A evolução dos túneis mostra, por sua vez, uma maior sofisticação no manejo de proxys de rede e na obtenção dos endereços de C2.
MemFun se comporta mais como uma plataforma modular: sua execução é realizada através de uma cadeia de etapas onde um loader inicial injeta shellcode que descarrega em memória um componente que, por sua vez, obtém a configuração de Pastebin e recupera uma DLL do servidor de comando. Ao trazer a DLL em tempo de execução, os operadores podem trocar cargas úteis sem tocar os artefatos inicialmente implantados, o que facilita modificações e atualizações furtivas.
Para evitar serem detectados por ambientes de análise automatizados, algumas variantes implementam retardos na execução. Instrumentam temporizadores de sono para ultrapassar as janelas de observação típicas dos sandboxes; além disso, MemFun realiza verificações anti-forense antes de alterar marcas de tempo e emprega Proess hollowing para executar o payload sob o contexto de processos legítimos como o dllhost.exe, reduzindo assim a pegada em disco e complicando a atribuição forense.
A extração de credenciais merece uma nota separada: Getpass opera sobre a memória de lsasss.exe para tentar obter senhas em texto claro, hashes NTLM e outros materiais de autenticação, replicando táticas clássicas de movimentos laterais e elevação de privilégios. Essa capacidade torna os atacantes uma ameaça ainda maior para redes com escassa segmentação ou configurações fracas de controle de acesso.
O que significa tudo isto para organizações militares e entidades ligadas a operações de defesa? Em primeiro lugar, a campanha demonstra que os atacantes são seletivos e pacientes: mantêm acessos latentes durante longos períodos, priorizam a coleta direcionada e aplicam medidas de segurança operacional para prolongar sua permanência. Em segundo lugar, o uso combinado de ferramentas modulares, serviços públicos como repositórios temporários e técnicas de evasão faz com que a defesa exija mais do que simples assinaturas de antivírus.
Do ponto de vista prático, detecções precoces podem ser apoiadas no seguimento de execuções suspeitas de PowerShell, na monitorização de processos que leem lsass.exe e na identificação de conexões a serviços de paste ou armazenamento que não rendam com o padrão de uso legítimo. A Microsoft oferece mecanismos de proteção do ambiente de credenciais e recomendações para mitigar o roubo em memória; por exemplo, funções como Credential Guard ajudam a reduzir o risco de extração direta de lsass ( Documentação Microsoft).
Também é recomendável aplicar controles de higiene básicos, mas efetivos: segmentação de rede, políticas de privilégios mínimos, registro e análise contínua do comportamento de processos e conexões salientes, e a integração de capacidades EDR que possam detectar injeção em memória, process hollowing e padrões anormais de uso de DLLs. Para entender as técnicas específicas utilizadas pelos atacantes, convém rever as técnicas mapeadas pelo MITRE, que detalham vetores como a obtenção de C2 via serviços públicos e as técnicas de hijacking e hollowing já mencionadas ( Pastebin, DLL hijacking, Proess hollowing).
A atribuição a um actor com base na China mantém-se no terreno da suspeita informada: os indicadores técnicos e os objectivos coincidem com campanhas prévias associadas a operadores estatais, mas a comunidade de segurança costuma ser cautelosa em matéria de atribuição completa sem qualquer apoio adicional. O que é indiscutível é a natureza estratégica do objetivo: sistemas de comando e controle, estruturas organizacionais e registros de cooperação militar são exatamente os tipos de dados que interessam a serviços de inteligência.
Em suma, estamos diante de uma operação que combina paciência, precisão e técnicas atuais de evasão. Para defensores e responsáveis pela segurança em setores sensíveis, a lição é clara: a resiliência passa por monitoramento contínuo, detecção baseada em comportamento e medidas de proteção de credenciais e processos. Aqueles que gerem infra-estruturas críticas devem assumir que os atacantes treinados e financiados por estados operam com um horizonte de tempo longo e com critérios de seleção de objetivos muito concretos, e preparar suas defesas em conformidade.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...