Recentemente, a comunidade de segurança voltou a colocar a lupa sobre um grupo ligado à Coreia do Norte conhecido no mundillo como ScarCruft ou APT37. Pesquisadores de Zscaler deram com uma campanha complexa e muito trabalhada que batizados como "Ruby Jumper" e que, segundo o relatório publicado no final de 2025, combina técnicas tradicionais de engenharia social com truques modernos: uso de serviços legítimos na nuvem como canal de comando e controle e uma curiosa estratégia para saltar redes isoladas através de meios removíveis.
O ataque começa com algo que, na aparência, pode passar despercebido: um arquivo LNK malicioso. Ao abri-lo, executa-se uma cadeia de PowerShell que não só tenta persistir, mas também extrai vários binários e scripts embebidos dentro do próprio acesso direto. Entre esses elementos há um documento senhês — em um dos casos, um artigo traduzido para o árabe sobre o conflito Palestina-Israel — e vários artefatos que vão se ativando em cadeia para levar a intrusão a fases cada vez mais profundas.
Um dos componentes mais marcantes é um executável que os investigadores denominaram RESTLEAF. Este binário é executado em memória e, pela primeira vez nas campanhas atribuídas a este ator, utiliza Zoho WorkDrive como mecanismo de C2 (mando e controle). O RESTLEAF é autenticado com o serviço utilizando um token válido, descarga shellcode hospedado lá e injeta-o em processos para executar etapas posteriores sem deixar demasiadas traços no disco.
A utilização de plataformas de armazenamento em nuvem como vetor de C2 não é nova, mas chama a atenção que atores persistentes começam a explorar serviços menos massivos para passar sob o radar. Se você quiser consultar a análise técnica e as evidências publicadas pelos descubridores, o relatório Zscaler está disponível em seu blog de pesquisa ( aqui), e a página oficial do Zoho WorkDrive ajuda a entender o serviço que se aproveitou no ataque ( Zoho WorkDrive).
Após a execução inicial, o RESTLEAF apresenta um instalador que os pesquisadores chamaram de SNAKEDROPPER. Este componente monta um ambiente de execução Ruby autónomo na máquina comprometida, cria persistência por uma tarefa programada e deixa cair vários módulos escritos em Ruby, entre eles THUMBSBD e VIRUSTASK. O design dessa “mini-plataforma” Ruby permite que os operadores activem funcionalidades avançadas mesmo em sistemas que não contavam com Ruby instalado anteriormente.
THUMBSBD é, provavelmente, a peça que mais preocupa as equipes de segurança operacional. Apresenta-se como um arquivo Ruby e sua especialidade é a propagação e a ponte entre sistemas ligados à Internet e equipamentos isolados (air-gapped) por unidades USB e outros meios removíveis. Se detectar a presença de uma memória removível, crie pastas escondidas para armazenar comandos emitidos pelos operadores ou para deixar resultados que depois serão recuperados por um computador ligado à rede.
Desde essa posição, o THUMBSBD pode coletar informações do sistema, baixar cargas adicionais de servidores remotos, realizar exfiltração de arquivos e executar ordens arbitrárias. Um dos binários secundários instalados é o FOOTWINE, uma carga cifrada que inclui um lançador de shellcode e funcionalidades de vigilância: registo de teclas, captura de áudio e vídeo e comunicação com um servidor C2 através de um protocolo binário personalizado sobre TCP. Além disso, a campanha também propaga um backdoor conhecido como BLUELIGHT, que tem sido ligada a este ator desde anos atrás e que também abusa de fornecedores na nuvem (Google Drive, OneDrive, pCloud, BackBlaze) para receber ordens e transferir arquivos.
VIRUSTASK, por sua vez, repete o padrão de Ruby e se concentra especificamente em converter unidades removíveis em vetores de infecção para sistemas fora da rede. Enquanto THUMBSBD atua como braço operacional (ejecução e exfiltração), VIRUSTASK busca maximizar a capacidade de memória USB para introduzir malware em segmentos da rede que, por design, estão isolados.
O que deixa claro este caso é a combinação de métodos de sempre com recursos modernos: o señuelo humano (documentos falsos), o abuso da funcionalidade administrativa do Windows através de PowerShell e LNK, a ocultação de cargas em memória e a exploração de serviços na nuvem como conduits legítimos. O resultado é uma cadeia de ataque em várias etapas desenhada para ser resiliente e difícil de erradicar sem uma resposta coordenada.
Do ponto de vista defensivo convém prestar atenção a vários pontos: monitorar e analisar o comportamento incomum de processos que executem PowerShell ou manipulen arquivos LNK, monitorar o uso de tokens e acessos a APIs de armazenamento em nuvem, controlar estritamente as políticas e o acesso a meios removíveis e desativar a execução automática quando possível. Além disso, é essencial que as equipes de SOC e resposta a incidentes integrem detecções em memória e telemetria de rede para identificar comunicações com serviços na nuvem que não sejam habituais na organização.
Se você quer ler uma nota de imprensa que resume a campanha do ponto de vista informativo, meios especializados como BleepingComputer também cobriram a descoberta e amplificam as conclusões técnicas do relatório ( Informações adicionais em BleepingComputer).
Ruby Jumper nos lembra que os atacantes combinam criatividade técnica com táticas conhecidas para sortear defesas.
A recomendação para administradores e responsáveis pela segurança é não subestimar a ameaça que representam as unidades removíveis ou a possibilidade de serviços na nuvem serem empregados como passarela de controle por atores persistentes. A detecção precoce, a segmentação de redes, a gestão adequada de credenciais e o endurecimento de políticas de execução (especialmente em estações de trabalho com acesso a documentos externos) continuam a ser medidas chave para mitigar campanhas deste tipo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...