Um corredor de acesso inicial (IAB) identificado como KongTuke mudou seu vetor de engano para a Microsoft Teams, conseguindo em alguns casos uma intrusão persistente em redes corporativas em menos de cinco minutos. Este ator convence funcionários, fingindo ser pessoal de suporte interno, para que peguem e executem em suas máquinas um comando de PowerShell que baixe do Dropbox um pacote ZIP com um ambiente WinPython portátil que finalmente lança o malware conhecido como ModeloRAT.
A tática envolve vários elementos que a tornam perigosa: o uso de federação externa em Teams para contatar vítimas, nomes de remetente que aparentam ser internos por truques com espaços Unicode, e o uso de serviços legítimos (por exemplo, Dropbox) para alojar o binário inicial. O resultado é um canal de acesso rápido e convincente que salta controles humanos e automatizados quando um trabalhador confiante executa a ordem solicitada.
Tecnicamente, a amostra observada por ReliaQuest não é um simples RAT: incorpora uma arquitetura de comando e controle mais resistente com uma piscina de cinco servidores, rotas URL aleatórias e capacidade de autoatualização; além disso mantém múltiplos caminhos de acesso (RAT primário, shell inverso e backdoor TCP) em infra-estruturas separadas, e usa mecanismos de persistência variados, incluindo chaves Run, acessos diretos de início, lançadores VBScript e tarefas agendadas a nível SYSTEM que, segundo os pesquisadores, não são removidos com a rotina de autodestruição do implante e podem sobreviver reinícios.
A mudança de KongTuke ilustra duas tendências convergentes: a comercialização do acesso por IABs para rendê-lo a operadores de ransomware e a instrumentação de plataformas de colaboração como vetor de entrega por sua confiança implícita. Estas plataformas oferecem meios fáceis para fazer engenharia social dirigida e para rotar inquilinos da Microsoft 365 para evitar bloqueios e listas negras tradicionais.
Para as organizações, as implicações são claras: não basta confiar que os controlos perimetrales ou a formação básica detenham essas campanhas. É crítico combinar políticas no tenant da Microsoft 365, controles de endpoint e telemetria para prevenir, detectar e conter tentativas que nascem dentro de fluxos de colaboração legítimos.
Na prevenção imediata, recomenda-se implementar listas de permitidos (allowlists) na federação externa de Teams e limitar mensagens diretas com domínios não gerenciados; Microsoft documenta como gerenciar o acesso externo e a federação em Teams e Exchange em seu centro de administração on-line, e essa configuração deve ser revista e endurecida em organizações com risco elevado: https://learn.microsoft.com/microsoft-365/solutions/manage-external-access?view=o365-worldwide. Paralelamente, medidas de hardening como a aplicação estrita de MFA, políticas de acesso condicional, e controle de execução (AppLocker ou Windows Defender Application Control) ajudam a que um comando colado por um usuário não se traduza em execução de código malicioso.
Na detecção e resposta, é essencial procurar artefatos específicos: tarefas programadas a nível SYSTEM, entradas invulgares em Run, acessos diretos em pastas de início, lançadores VBScript e presença de ambientes WinPython portáteis ou ficheiros como Pmanager.py. ReliaQuest publicou indicadores de compromisso e uma análise detalhada que convém incorporar na caça de ameaças e regras SIEM: https://reliaquest.com/blog/threat-spotlight-help-desk-lures-drop-kongtukes-evolved-modelorat. Também é recomendável integrar guias de resposta a ransomware e exfiltração de dados por autoridades como CISA para procedimentos de contenção e recuperação: https://www.cisa.gov/stopransomware.
Se for detectada uma possível infecção, aisle imediatamente a equipe afetada da rede, preserve memória e voltado de disco para análise forense, e considere que a presença da tarefa programada a nível SYSTEM pode requerer limpeza manual ou reconstrução do sistema se houver dúvida sobre a eliminação completa da persistência. Além disso, inicie uma revisão de credenciais e sessões ativas: os IABs buscam pivotar e vender acesso, pelo que há alto risco de contas e sessões terem sido comprometidas.
Finalmente, a resposta organizacional deve incluir uma atualização na formação do pessoal: além de "não clicar", explicar por que colar comandos e executar binários a partir de chats externos é perigoso e quais sinais delatan impostores em Teams (nomes com espaços Unicode, domínios não empresariais, solicitações urgentes e instruções técnicas fora de procedimento). A combinação de políticas de tenant rigorosas, controles de endpoint proativos e uma resposta bem ensaiada reduz significativamente a janela de ação de atores como KongTuke.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...