Uma operação de ciberespionagem está a expandir seus horizontes e a adaptar seu código para atacar sistemas Linux: o grupo conhecido como Harvester — ovinculado desde 2021 a campanhas direcionadas a organizações no sul da Ásia — tem sido observado desenvolvendo uma nova variante do backdoor GoGra escrita em Go, desenhada explicitamente para máquinas ELF. Pesquisadores da indústria apontaram que esta versão reutiliza um truque particularmente difícil de detectar: abusa da infraestrutura na nuvem Microsoft e usa buzones do Outlook como canal encoberto de comando e controle (C2).
A tática não é nova para o ator. Em 2021 identificou-se uma implantação prévia chamada Graphon que já empregava a API da Microsoft Graph para trocar ordens e exfiltrar informações, apontando para setores como telecomunicações, administrações públicas e tecnologia na região. O que é surpreendente agora é a extensão dessa técnica ao Linux com uma ferramenta escrita em Go, o que amplia a superfície de ataque para além dos sistemas Windows tradicionais. Para entender a magnitude da abordagem, convém lembrar que a API da Microsoft Graph está documentada e é legítima – o seu design facilita o acesso a caixas e pastas – e por isso os atacantes usam-na para camuflar o seu tráfego entre comunicações normais: Microsoft Graph (documentação).
Os detalhes técnicos relatados descrevem um método de entrega que mistura engenharia social e camuflagem: o binário ELF chega ao usuário com aparência de documento PDF. Ao executar, mostra uma página de senheiro para distrair a vítima enquanto, em segundo plano, inicia-se o backdoor. Abaixo, o malware consulta continuamente uma pasta específica da caixa de correio do Outlook - com nome deliberadamente mundano como "Zomato Pizza" - realizando consultas OData para verificar se há novas instruções. As consultas OData para a Microsoft Graph e a manipulação de pastas estão explicadas na documentação oficial: consultas e parâmetros OData na Microsoft Graph.
O mecanismo de controlo é surpreendentemente simples e eficaz. O implant revisa as mensagens cujo assunto começa com a palavra "Input". Se encontrar um, toma seu corpo codificado em Base64, decifra e executa-o usando /bin/bash. Os resultados da execução são encapsulados e enviados de volta ao operador por correio com um assunto que começa por "Output". Após completar a tarefa de exfiltração, o implante apaga a mensagem de tarefa original para dificultar a pesquisa forense. Esta técnica aproveita a legitimidade do serviço de correio para evitar detecções baseadas em tráfico de rede suspeito.
Os descubridores do caso também apontam coincidências em artefatos e erros tipográficos codificados de forma idêntica entre a versão para Windows e a nova versão para Linux, o que sugere que a mesma equipe ou desenvolvedor foi transferindo e adaptando sua lógica de C2 entre plataformas. Esse traço de "firma" do autor, juntamente com cargas detectadas que foram subidas a plataformas públicas da Índia e do Afeganistão, aponta para que as campanhas atuais estariam orientadas para objetivos nesses países, embora a geolocalização de amostras em serviços como VírusTotal nem sempre equivale à localização das vítimas ou do operador: Vírus total.
A pesquisa e a difusão deste achado têm contado com a participação de equipes especializadas em caças de ameaças, e as análises iniciais foram compartilhadas com meios especializados para acelerar a consciência pública. Relatórios de atores da indústria como Symantec e equipamentos de resposta e caça de ameaças foram citados pela imprensa especializada em segurança; a divulgação dessas observações busca ajudar defensores e administradores a identificar padrões incomuns de acesso a buzones e a ajustar controles na nuvem. Ver notas públicas sobre tendências e advertências em blogs da indústria ajuda a contextualizar essas campanhas: Symantec Enterprise Blogs e análise de equipamentos de segurança como os da VMware/Carbon Black em seus canais oficiais.
Por que esta abordagem é perigosa? Porque transforma serviços legítimos em canais de comunicação do atacante. Ao usar a própria infraestrutura na nuvem do provedor de correio, o tráfego faz blending com as comunicações normais, o que reduz a probabilidade de que os sistemas defensivos tradicionais baseados em detecção de anomalias no perímetro o etiquetem como malicioso. Além disso, ao operar a partir de uma caixa de correio, muitos dos sinais de alarme convencionais — conexões a servidores desconhecidos, domínios maliciosos ou tráfego encriptado a infra-estruturas de comando — ficam atenuados ou desaparecem.
Para as organizações afectadas ou em risco, as medidas defensivas não são triviais, mas sim claras: reforçar os controlos de acesso à APIs e às permissões, monitorizar padrões de atividade em caixas de buzones (por exemplo, acessos programados muito frequentes ou apagados em massa de mensagens), endurecer a inspeção de anexos e educar o pessoal contra enganos que levam a executar binários disfarçados como documentos. A integração de soluções de detecção e resposta em endpoints e ambientes cloud, juntamente com análises de comportamento de e-mail, ajuda a levantar sinais de alarme mais precoces.
Esta evolução do arsenal de Harvester sublinha uma lição recorrente em cibersegurança: os atacantes não precisam de infra-estruturas próprias se podem reutilizar serviços confiáveis e legítimos para suas comunicações. A portabilidade do backdoor para Linux e sua implementação em Go também mostram que os desenvolvedores de ameaças buscam abranger diferentes tipos de dispositivos e servidores, o que obriga a defender com uma visão multiplataforma.
Se você quer aprofundar como a Microsoft Graph funciona ou rever boas práticas para proteger APIs e caixas, a documentação da Microsoft e as análises da comunidade são um bom ponto de partida: Microsoft Graph. Para verificar amostras suspeitas e seu histórico público, Vírus total mantém repositórios de ficheiros e metadados que podem ser úteis para pesquisadores. E para acompanhar a cobertura jornalística e técnica sobre este incidente em particular, consultar recursos especializados como The Hacker News e publicações das equipes de ameaças nos blogs oficiais da indústria.
Em essência, estamos perante uma campanha que confirma a tendência dos atacantes para adaptar ferramentas já testadas a novos ambientes e explorar serviços legítimos para persistir e comunicar. A recomendação é clara: priorizar a visibilidade na nuvem e nos endpoints, revisar permissões API e tomar medidas proativas de higiene digital antes que uma intrusão encoberta passe a ser um incidente maior.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...