Nos últimos meses, tornou-se evidente uma tática recorrente e efetiva de certos grupos patrocinados por estados: aproveitar serviços legítimos e amplamente confiáveis para camuflar comandos maliciosos. Pesquisas recentes apontam que atores ligados à Coreia do Norte utilizaram o GitHub como uma espécie de "centro de comando" para controlar máquinas comprometidas, em campanhas que atingiram sobretudo organizações na Coreia do Sul.
O primeiro contato com a vítima é normalmente surpreendentemente simples: atalhos do Windows (.LNK) ofuscados enviados por correio de pesca que, ao abrir, mostram um documento inocuo para distrair o usuário enquanto um script malicioso é executado em silêncio. Esse roteiro em PowerShell verifica se a máquina está sendo analisada – buscando máquinas virtuais, depuradores ou ferramentas forenses – e se detectar algo se fecha para evitar ser estudado. Se não encontrar sinais de análise, o ataque avança: instala-se persistência por uma tarefa programada que lança o payload a cada 30 minutos e depois de reinícios, e se extrai e executa um VBScript intermediário que continua a cadeia de compromisso.
O que faz mais astuta esta operação é a seguinte etapa: o malware perfila a equipe infectado e envia a informação a um repositório público no GitHub usando um token embebido no código. Desde o mesmo repositório, são descarregados depois módulos adicionais ou comandos, de modo que o operador pode controlar a máquina sem recorrer a infra-estruturas óbvias de comando e controlo. É uma tática para aproveitar a confiança e o tráfego legítimo de uma plataforma pública e assim misturar com o ruído normal da Internet.
Assinaturas de segurança documentaram contas envolvidas nestas campanhas com nomes como "motoralis" — desde que supostamente se suben e recuperam artefatos — e outras contas associadas à operação. Pesquisadores recordam que não é um novo uso: já em 2023 descreveram-se variantes deste padrão para distribuir RATs como Xeno e seu derivado MoonPeak, e atribuiu-se a autoria a grupos norte-coreanos como Kimsuky. Para mais contexto sobre análise de ameaças e padrões de comportamento, é útil consultar relatórios de assinaturas especializadas como Fortinet FortiGuard Labs e blogs técnicos de provedores de segurança.
O repertório da campanha não se limita a PowerShell e GitHub. Outros relatórios relacionam cadeias que usam o formato de documentos locais populares na Coreia, ferramentas de armazenamento em nuvem como o Dropbox e downloads fragmentados de servidores remotos que são montados no host vítima. Em alguns casos recentes, os atacantes mudaram o método de entrega: em vez de se basearem em LNK para cair em scripts .BAT, evoluíram para droppers embebidos em documentos HWP (o processador de Hangul), utilizando OLE e técnicas de DLL side-loading para executar cargas úteis como RokRAT e outras portas traseiras escritas em Python.
Do ponto de vista técnico, há duas decisões fundamentais por trás destas abordagens. Por um lado, o uso de ferramentas nativas do Windows (PowerShell, tarefas programadas, VBScript) — muitas vezes denominadas "Living off the Land Binaries" ou LolBins — reduz a necessidade de executar binários visíveis em disco e, portanto, diminui a probabilidade de detecção por antivírus tradicionais. Por outro lado, aproveitar plataformas públicas consolidadas como o GitHub ou serviços de armazenamento em nuvem para alojar instruções e binários permite aos operadores mudar, atualizar ou revogar artefatos sem levantar sinalizações em infraestruturas claramente maliciosas.
Esse cocktail de minimalismo em binários, uso de utilitários legítimos e emprego de serviços públicos cria um ambiente de baixo ruído difícil de bloquear com controles básicos. A boa notícia é que, embora a técnica seja refinada, existem medidas concretas para detectar e mitigar: controles de e-mail mais estritos para bloquear arquivos LNK em e-mails entrantes, restrições ao uso de PowerShell em funções administrativas, monitoramento do uso de tokens estáticos que acessam APIs públicas e análise do tráfego saliente para repositórios de código ou serviços de armazenamento a partir de equipamentos que não deveriam se comunicar com eles.
Além de bloqueios e regras em perímetro, a detecção eficaz costuma ser apoiada na telemetria local: identificar tarefas programadas incomuns que são executadas em intervalos regulares, monitorar a criação de pastas ocultas com nomes atípicos (em alguns incidentes foi detectada a rota "C:\\windirr"), e monitorar a execução de comandos que extraem e montam fragmentos baixados a partir de servidores remotos. As equipes de resposta a incidentes devem prestar especial atenção a processos de PowerShell que executam em janelas ocultas e conexões salientes que consultam arquivos específicos no GitHub ou serviços públicos.
Não é por acaso que estas campanhas aparecem frequentemente na península coreana: os grupos do estado norte-coreanos mostraram preferência por objetivos locais e por técnicas que exploram formatos e serviços muito utilizados nessa região. No entanto, a estratégia tem alcance global: qualquer organização que permita a usuários abrir documentos recebidos por correio e que tenha capacidade de executar scripts sem restrições pode ser um alvo potencial.
A documentação pública de incidentes e análises por parte de empresas de cibersegurança permite entender melhor a evolução dessas ameaças. Para aqueles que querem aprofundar, blogs de análise de fornecedores como Fortinet FortiGuard Labs ou AhnLab costumam oferecer despieces técnicos e exemplos de indicadores observados, e meios especializados cobriram a adoção do GitHub como canal de comando e controle. Também é conveniente consultar as políticas de plataformas públicas sobre abuso para entender os procedimentos de denúncia e remoção quando se detecta infraestrutura maliciosa alojada em serviços legítimos.
Em valores práticos, a melhor combinação para uma organização é misturar prevenção, visibilidade e resposta: bloqueio e filtragem mais restrita no correio, limitação do uso de scripting por usuários não administradores, registros sólidos de processos e tarefas agendadas, e playbooks claros para investigar acessos a serviços externos suspeitos. A higiene digital e o princípio de menor privilégio continuam a ser, hoje, as barreiras mais eficazes face a este tipo de operações.
Se você se interessar por ler relatórios originais ou seguir atualizações, você pode começar pelas páginas de análise de provedores de segurança e meios especializados. Fortinet oferece pesquisas de FortiGuard Labs sobre campanhas e técnicas atuais em seu portal ( Fortinet FortiGuard Labs), AhnLab publica análise técnica em seu blog ASEC ( AhnLab ASEC), e meios como a BleepingComputer cobrem incidentes e tendências do setor ( BleepingComputer). Para entender as responsabilidades e processos das plataformas públicas, a documentação oficial do GitHub é um bom ponto de partida ( GitHub - políticas e termos).
Em suma, a reutilização de serviços legítimos como canais de comando por parte de atores sofisticados sublinha uma lição-chave: as defesas convencionais são necessárias, mas não suficientes. A combinação de controles técnicos, monitoramento ativo e formação de usuários é o que realmente complica e trava essas campanhas. Manter-se informado com fontes de confiança e aplicar medidas de redução de superfície de ataque é hoje a melhor receita para resistir a este tipo de ameaças.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...