Nos últimos meses, as equipas de resposta e análise de ameaças têm vindo a acender luzes de alarme sobre uma campanha sustentada que, pelo menos desde dezembro de 2025, tem vindo a atacar principalmente instituições do setor educacional e de saúde nos Estados Unidos. Os investigadores da Cisco Talos agruparam esta actividade sob a etiqueta UAT-10027 e identificaram um novo implante, batizado como Dohdoor, que introduz técnicas modernas para permanecer invisível e mover-se com liberdade dentro das redes comprometidas.
O vetor inicial ainda não foi confirmado de forma absoluta, mas o padrão descrito por Talos aponta para cenários típicos de engenharia social: um e-mail ou documento malicioso que desemboca na execução de um script de PowerShell. Esse script atua como porta de entrada, baixando e executando em seguida um arquivo por lote de um servidor de preparação que, por sua vez, descarrega uma biblioteca dinâmica do Windows (DLL) com nomes que buscam passar despercebidos, como "propsys.dll" ou "batmeter.dll".
O DLL maliciosa – o próprio Dohdoor – não chega sozinha: se aproveita de processos legítimos do sistema para se carregar. Em particular, utiliza a técnica conhecida como DLL side‐loading, que consiste em aproveitar executáveis legítimos do Windows (Fondue.exe, mblctr.exe, ScreenClippingHost.exe, entre outros) para forçar a carga do DLL maliciosa no contexto de um processo confiável. Você pode ver a descrição técnica desta tática na base de conhecimentos do MITRE ATT&CK: DLL side‐loading (T1574.001).
Uma vez estabelecida a porta traseira, Dohdoor emprega DNS-over-HTTPS (DoH) como canal de comando e controle (C2), o que complica enormemente a detecção por meios tradicionais. Ao encapsular as consultas DNS no tráfego HTTPS para infra-estruturas públicas, o tráfego malicioso é misturado com comunicações legítimas e aparece como conexões criptografadas a serviços de confiança. A Cisco Talos destaca ainda que os operadores escondem os seus servidores C2 por trás da plataforma Cloudflare, de forma que as máquinas comprometidas contactam endereços IP de confiança global, o que reduz o rastro que deixam nos sistemas de monitoramento de rede.
O uso de DoH não é intrinsecamente malicioso, mas seu abuso representa um desafio para defensores: os mecanismos tradicionais que analisam nomes de domínio ou redireccionem consultas a "sinkholes" ficam em grande parte inúteis frente a um túnel DNS criptografado por HTTPS. Se você quer entender como essas resoluções DNS funcionam realmente sobre HTTPS do ponto de vista técnico, a documentação do Cloudflare é um bom ponto de partida: DNS-over-HTTPS – Cloudflare.
Outra camada de sigilo em Dohdoor é sua capacidade de evitar soluções de endpoint. Os pesquisadores observaram que o malware realiza técnicas para anular os hooks de usuário no ntdll.dll e, desse modo, esquivar as deteções que muitas EDR implementam ao monitorar chamadas a APIs do Windows. Esta abordagem de "desenganchar" ou evitar os hooks foi documentada por equipamentos de segurança: explicação técnica da MDSEC.
Além disso, Dohdoor não se contenta em permanecer como uma simples porta traseira: seu propósito operacional é recuperar e executar cargas posteriores diretamente em memória. Nos incidentes analisados por Talos, a carga descarregada e executada em memória foi uma instância de Cobalt Strike Beacon, uma ferramenta de pós-explotação que os atacantes usam para movimento lateral, exfiltração e persistência em ambientes comprometidos.
Quanto à autoria, Talos aponta similaridades táticas entre o conjunto de ferramentas usadas por UAT-10027 e famílias de malware associadas no passado a grupos norte-coreanos, como Lazarloader, mas não atribui de forma definitiva a campanha a um ator concreto. A decisão de manter a cautela na atribuição é importante: embora existam coincidências técnicas, a escolha de vítimas - educação e saúde - e outros indicadores operacionais não se encaixam do todo com o perfil público de certos grupos. É verdade, no entanto, que atores da Coreia do Norte atacaram no passado objetivos sanitários e educacionais com outras ferramentas, o que acrescenta contexto à comparação; por exemplo, sobre o interesse de certos APTs norte-coreanos em hospitais e universidades, você pode consultar análises sobre Kimsuky ou campanhas com ransomware Maui: Global Cyber Alliance – Kimsuky e setor educacional e recursos sobre a ameaça aos hospitais.
O que as equipas de segurança devem fazer perante uma ameaça como esta? Não há uma única bala de prata, mas várias práticas ajudam a reduzir a superfície de risco e melhorar a detecção. Primeiro, reforçar a formação e as defesas contra phishing porque a cadeia de ataque descrita começa, muito provavelmente, com enganos dirigidos a usuários. Segundo, monitorar e analisar TLS saliente e resolução de nomes com ferramentas que possam inspecionar DoH ou forçar o uso de resoluções DNS corporativas controladas; a visibilidade das conexões criptografadas é chave. Terceiro, revisar políticas de allowlisting para impedir a execução arbitrária de binários e limitar os privilégios das contas e serviços que possam carregar DLLs. Por último, as soluções EDR devem ser atualizadas e complementadas com controlos que busquem anomalias no comportamento em memória, não apenas assinaturas estáticas.
As organizações públicas e privadas que operam em educação e saúde devem ser tomadas esta campanha como um lembrete claro de que a sofisticação dos atacantes continua a crescer: combinam técnicas de evasão de rede, abuso de infra-estruturas de terceiros e métodos de execução em memória para permanecer ocultos o maior tempo possível. A Cisco Talos oferece mais detalhes técnicos sobre a pesquisa e os indicadores de compromisso que você pode aproveitar uma equipe de resposta a incidentes: Relatório técnico de Talos sobre Dohdoor.
Num mundo onde os atacantes exploram tanto as novas capacidades de protocolo como os serviços legítimos para mascarar o seu tráfego, a chave para as organizações é aumentar a visibilidade, endurecer os controles e combinar a capacitação humana com soluções técnicas capazes de detectar anomalias em camadas superiores - não apenas em consultas DNS ou assinaturas conhecidas. A ameaça existe agora; agir antes do próximo incidente afetar pacientes ou estudantes é uma responsabilidade compartilhada entre administradores, provedores de segurança e decisores institucionais.
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...
YellowKey A falha do BitLocker que poderia permitir a um atacante desbloquear sua unidade com apenas acesso físico
A Microsoft publicou uma mitigação para uma vulnerabilidade de omissão de segurança de BitLocker conhecida como YellowKey (CVE-2026-45585), depois de seu teste de conceito ser d...