Um relatório recente da Palo Alto Networks Unit 42 colocou em evidência uma campanha persistente atribuída a um actor coligado à China que tem apontado organizações de alto valor no sul, sudeste e leste da Ásia. Segundo os investigadores, os brancos incluem sectores sensíveis como a aviação, a energia, organismos governamentais, forças de segurança, farmacêuticas, empresas tecnológicas e operadores de telecomunicações, o que desenha o perfil de uma operação com claras implicações geoestratégicas e de segurança.
O agrupamento, rotulado por Unit 42 como CL-UNK-1068 — onde “CL” indica “cluster” e “UNK” motivação desconhecida – emprega uma combinação de ferramentas à medida, utilitários de código aberto modificados e binários legítimos do sistema (LOLBINs) para permanecer nos ambientes comprometidos. A própria análise da equipe de pesquisa descreve um conjunto de táticas que facilitam tanto a persistência quanto o sigilo, com evidência suficiente para que os autores avaliem com confiança moderada a alta O objetivo principal é a espionagem cibernética. Você pode ler o relatório completo de Unit 42 aqui: Unit 42 — CL-UNK-1068.
Quanto à tecnologia utilizada, os atacantes misturam web shells conhecidos como Godzilla e ANTSWORD com backdoors para Linux como Xnote, além de componentes como Fast Reverse Proxy (FRP) para manutenção do acesso. Xnote, em particular, não é novo no ecossistema de ameaças; foi detectado na natureza desde meados da década passada e tem sido associado a outras campanhas. Para contexto técnico sobre Xnote e sua detecção precoce, revisa este recurso de análise: Dr.Web — Xnote, e para exemplos de campanhas multiníveis vinculadas a backdoors, consulta a análise de Trend Micro sobre Earth Berberoka: Trend Micro — Earth Berberoka.
O padrão de intrusão que descrevem os pesquisadores começa com a exploração de servidores web para implantar web shells e daí mover-se lateralmente dentro da rede. Uma vez dentro, a ameaça procura arquivos específicos que possam conter credenciais ou informações sensíveis: arquivos de configuração e binários associados a aplicativos web, históriais e marcadores de navegadores, folhas de cálculo e cópias de segurança de bases de dados MS-SQL (.bak), entre outros. Os atacantes apresentam um interesse particular no conteúdo da pasta Web de IIS (c:\inetpub\wwwroot), onde costumam capturar arquivos que facilitem a escalada ou a coleta de credenciais.
Um dos detalhes mais marcantes da campanha é a técnica de exfiltração sem transferência direta de arquivos: os operadores comprimem com o WinRAR os dados de interesse, codificam o arquivo resultante na Base64 usando o binário do sistema certutil e depois imprimem esse conteúdo em tela com o comando type através do web shell. Ao transferir o ficheiro codificado como texto para a saída da linha de comandos, evitam o envio de ficheiros do servidor comprometido e a remoção de controlos que bloqueiam transferências directas, uma solução rudimentar mas eficaz dado o acesso que tinham à consola remota.
A precisão no uso de ferramentas legítimas também é notável. Os atacantes têm abusado de executáveis de Python ("python.exe" e "pythonw.exe") para efetuar técnicas de DLL side-loading e executar DLL maliciosas de forma encoberta; entre as cargas observadas figura FRP para acesso persistente, utilitários como PrintSpoofer e um scanner próprio desenvolvido em Go chamado ScanPortPlus. Esta mistura de componentes legítimos e personalizados complica a detecção por soluções tradicionais que baseiam parte de sua estratégia em bloquear executáveis não conhecidos.
Na frente do reconhecimento e mapeamento do ambiente, o grupo não se limitou a ferramentas públicas: desde 2020 fazia uso de uma utilidade .NET desenvolvida por eles mesmos chamada SuperDump para coletar informações do host. Em intrusões mais recentes, observa-se uma transição para scripts por lotes que automatizam a catalogação do sistema local — uma evolução que visa otimizar o reconhecimento prévio às fases de exfiltração ou escalada.
A sustração de credenciais tem sido sistemática e multifacetada: técnicas de acabamento de memória com Mimikatz, hooks ao subsistema de início de sessão através de ferramentas similares a LsaRecorder que interferem com chamadas como LsaApLogonUserEx2, e extração de hashes e artefatos desde sistemas Linux com utilitários forenses como DumpItForLinux e o Volatility Framework. Para melhor compreender a interface que é abusada no Windows, a Microsoft documenta a função LsaApLogonUserEx2 aqui: LsaApLogonUserEx2 — Microsoft Docs.
Além disso, foram observadas ferramentas destinadas a recuperar senhas armazenadas por utilitários administrativos, como aquelas empregadas pela Microsoft SQL Server Management Studio (SSMS). Essas práticas de coleta de artefatos apontam a obtenção de credenciais persistentes que permitam movimentos laterais e acesso a dados sensíveis sem necessidade de explorar continuamente novas vulnerabilidades.
Unit 42 sublinha que a campanha foi montada com base em recursos de código aberto, malware compartilhado na comunidade e scripts simples, o que lhes permitiu sustentar operações encobertas durante longos períodos e se adaptar segundo o objetivo e o sistema operacional atacado. A combinação de componentes comuns e personalizações pontuais oferece ao atacante versatilidade e resiliência frente a bloqueios pontuais.
Desde a perspectiva de risco, a concentração geográfica e sectorial dos objetivos, juntamente com o foco em roubo de credenciais e exfiltração de informação crítica, faz com que a hipótese de espionagem seja a mais verossímil; ainda assim, os pesquisadores advertem que não se pode descartar por completo um trasfondo criminoso mais clássico. O uso de ferramentas compartilhadas e técnicas simples também abre a possibilidade de que outros atores copycat ou grupos com motivações diferentes reutilizem partes do conjunto de ferramentas.
Para equipes de segurança e responsáveis TI, os sinais a observar incluem execuções incomuns de certutil ou binários legítimos em contextos atípicos, presença de web shells em rotas públicas do servidor web, atividade anómala em processos de Python usados desde servidores web e padrões de acesso a arquivos de configuração e backups. Além disso, a detecção precoce beneficia do monitoramento contínuo de integridade de arquivos, segmentação de redes web, implementação de autenticação multifator e rotação agressiva de credenciais administrativas.
Se você quer aprofundar a metodologia técnica e as IoCs que publica Unit 42, o relatório original é o melhor ponto de partida e oferece detalhes para equipes de resposta e inteligência: Unit 42 — CL-UNK-1068. Para aprender mais sobre o histórico de backdoors como Xnote e campanhas relacionadas, consulte a análise de detecção histórica: Dr.Web — Xnote, e para ver exemplos de como operam campanhas multiníveis com backdoors e roubo de credenciais, o trabalho de Trend Micro sobre Earth Berberoka traz contexto útil: Trend Micro — Earth Berberoka.
Em suma, estamos perante uma operação que combina o caseiro e o comunitário para alcançar objetivos sofisticados: pequenas peças montadas com critério podem provocar grandes vazamentos. A lição para as organizações críticas é clara: não basta proteger-se contra exploits de último momento; é preciso também monitorar o abuso de utilidades legítimas e os padrões mais sutis de reconhecimento e exfiltração.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...