Os investigadores de segurança identificaram um quadro de comando e controlo baseado em JScript que está sendo explorado por atores alinhados com a China desde 2023. A peça central desta campanha é um conjunto de scripts conhecido como PeckBirdy, uma plataforma leve, mas versátil que aproveita velhas tecnologias de scripting para abrir canais remotos sem deixar rasto persistente em disco.
O notável de PeckBirdy não é tanto sua sofisticação críptica, mas sim sua adaptabilidade: Pode ser executado em navegadores web, através de MSHTA, WScript, Classic ASP, Node.js e mesmo de .NET através de ScriptControl. Essa capacidade multiplataforma permite-lhe integrar com o que é conhecido como "living-off-the-land binaries" (os binários legítimos do sistema que se abusam para executar código), uma tática que complica muito a detecção tradicional. Trend Micro publicou uma análise detalhada em que explicam o funcionamento e a evolução desta ameaça, e é uma leitura recomendável para quem quiser aprofundar: Relatório de Trend Micro sobre PeckBirdy.
O mecanismo de entrega observado em uma das primeiras ondas foi a injeção de scripts em páginas web de apostas chinesas. Esses programas atuam como carregadores remotos: consultam um servidor de controle com um identificador associado à campanha (um "ATTACK ID" de 32 caracteres) e a partir daí descarregam o próximo elo, que pode variar de acordo com o ambiente de execução. Um destinatário diferente recebe um "landing script" adaptado ao seu contexto, o que permite tanto operações de roubo de credenciais como a instalação de backdoors mais complexos.
A comunicação com o servidor é normalmente baseada em WebSockets, mas PeckBirdy tem alternativas: usa objetos ActiveX (por exemplo, Adobe Flash em cenários antigos) ou técnicas de Comet quando WebSocket não está disponível. Depois de se inicializar, o script gera um identificador único para a vítima, o persiste e o usa em posteriores comunicações, o que facilita a gestão remota de múltiplos objetivos desde a infraestrutura de comando e controle.
Entre os artefatos encontrados em servidores associados à campanha, os pesquisadores encontraram desde utilitários para roubar cookies até scripts que tentam explorar vulnerabilidades em motores de navegador. Em particular apareceu um exploit dirigido a uma falha no motor V8 do Google Chrome (referido como CVE-2020-16040), que havia sido adesivo em 2020. Também detectaram pop-ups de engenharia social que simulam atualizações legítimas do Chrome para induzir o usuário a baixar executáveis maliciosos.
Da infraestrutura ofensiva surgiram também duas portas traseiras modulares que os atacantes usam para manter acesso: HOLODONUT, uma backdoor .NET que se desdobra mediante um download denominado NEXLOAD e que suporta plugins; e MKDOOR, outro backdoor modular com capacidade para carregar, executar ou remover módulos. Estas ferramentas permitem que a operação evolucione desde a intrusão inicial para espionagem contínua ou movimentos laterais dentro de redes comprometidas.
Trend Micro identificou pelo menos dois conjuntos de intrusão temporárias que usam PeckBirdy. Um, rastreado como SHADOW-VOID-044, tem afetado principalmente sites de apostas na China e serviu como vetor para distribuir payloads e exploits. O outro, chamado SHADOW-EARTH-045, observado desde julho de 2024, tem se orientado a instituições governamentais e organizações privadas na Ásia, incluindo uma entidade educativa nas Filipinas, onde foram injetados links maliciosos em páginas de início de sessão para capturar credenciais.
Os analistas não atribuem uma única organização por trás de tudo, mas vêem pistas que apontam para a participação de grupos distintos, mas com apoios ou táticas semelhantes. Entre esses sinais está a presença da porta traseira GRAYRABBIT em servidores vinculados a SHADOW-VOID-044 ( Análise de GRAYRABBIT), coincidências em certificados usados para assinar cargas e semelhanças técnicas com campanhas passadas atribuídas a atores como Earth Lusca ou APT41. Estas conexões não são conclusivas por si sós, mas ajudam a construir um panorama de atores que compartilham infraestrutura e métodos.
Do ponto de vista da defesa, PeckBirdy exemplifica dois problemas recorrentes: Por um lado, o abuso de binários legítimos do sistema para executar código malicioso complica a assinatura e detecção em endpoints; por outro, os scripts dinâmicos injetados em memória ou servidos em tempo real não deixam artefatos fáceis de analisar com soluções tradicionais. Detectar e mitigar este tipo de ameaças requer combinar controles em vários níveis: endurecimento de aplicativos web, monitoramento de comportamento em endpoints e análise de tráfego de rede, incluindo conexões WebSocket anormais.
Para reduzir a superfície de ataque, é conveniente manter navegadores e motores JavaScript atualizados, rever e restringir o uso de ferramentas como MSHTA e WScript em ambientes onde não são necessários, e aplicar políticas de conteúdo (CSP) e Subresource Integrity (SRI) em sites que sirvam conteúdo público. Também é útil auditar regularmente páginas críticas em busca de injeções e contar com soluções de entrega seguras que possam detectar mudanças inesperadas em recursos web. Recursos como o projeto LOLBAS oferecem um guia sobre binários do sistema que costumam ser abusados e podem servir para priorizar controles: LOLBAS. Para entender como os atacantes exploram binários legítimos da perspectiva de técnicas e táticas, a matriz MITRE ATT&CK é uma referência prática: T1218 - Living off the land binaries e T1505.003 - Web Shell.
A detecção precoce também pode ser apoiada em sinais de rede: sessões WebSocket para domínios não habituais, downloads de scripts de recursos de terceiros ou respostas que entreguem código JavaScript ofuscado devem disparar alertas. Em ambientes corporativos, a segmentação de redes e o monitoramento de processos que iniciam conexões salientes a partir de servidores web podem conter o abuso de infraestrutura legítima para movimento lateral.
PeckBirdy não introduz uma técnica nova em sentido estrito, mas mostra como inimigos com recursos combinam ferramentas antigas e confiáveis, scripts dinâmicos e uma infraestrutura flexível para operar com sigilo. Isto lembra que a segurança não é apenas um sistema de vulnerabilidades isoladas, mas sim de conceber camadas que compensem a capacidade dos atacantes para adaptar os seus encargos ao ambiente de execução.
Se você gerencia uma web corporativa ou gerencia sistemas críticos, rever os controles de integridade de recursos web, limitar os binários com capacidade de interpretação de scripts e reforçar a telemetria de rede são medidas práticas que reduzem enormemente o risco de compromissos semelhantes. Para aqueles que querem aprofundar a descrição técnica e as amostras analisadas, o relatório da Trend Micro fornece informações detalhadas e técnicas de detecção: Relatório completo sobre PeckBirdy.
Em última análise, essas campanhas servem de lembrete de que os atacantes aproveitam a heterogeneidade de ambientes e tecnologias: as defesas mais eficazes serão as que umam boas práticas de desenvolvimento web, gestão de sistemas, visibilidade da rede e políticas limpas no uso de ferramentas do sistema.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...