Nos últimos meses, pesquisadores em segurança revelaram a atividade de um ator persistente e sofisticado que opera sob o apelido de Silver Dragon. Este grupo tem sido relacionado com intrusões voltadas na Europa e no Sudeste Asiático desde meados de 2024 e mostra técnicas e ferramentas que o situam dentro do guarda tático conhecido como APT41, um coletivo ligado historicamente a campanhas de ciberespionagem e, por vezes, a operações com motivação financeira. Para aprofundar a análise técnica, o Check Point publicou um relatório detalhado que documenta estas operações e as cadeias de infecção empregadas pelo grupo: Relatório do Check Point.
O caminho de entrada que usa Silver Dragon combina o aproveitamento de servidores expostos na Internet com campanhas de phishing com arquivos maliciosos. Uma vez dentro, os atacantes buscam misturar-se com a atividade legítima do sistema: sequestrar serviços do Windows e usam cargas úteis que são executadas em memória para evitar deixar rastros em disco. Esta capacidade para esconder processos e persistir em ambientes comprometidos é um selo de operações avançadas e bem financiadas, e explica por que a detecção precoce é tão complexa.
Entre as ferramentas recorrentes nas intrusões figura Cobalt Strike, um marco de pós-explotação conhecido por sua flexibilidade e por ser aproveitado tanto por pesquisadores quanto por atores maliciosos. Silver Dragon emprega beacons de Cobalt Strike para manter controle sobre equipamentos infectados e combina essa capacidade com métodos de comunicação menos convencionais, como o túnel DNS, que permite enviar e receber comandos evitando controles de rede mais rígidos.
A equipe de pesquisa identificou três cadeias de infecção principais. Dois deles partem de arquivos comprimidos contendo scripts por lotes e cargas em várias etapas; em uma dessas rotas, observa-se o uso de um carregador .NET a que chamam MonikerLoader, responsável por descomprimir e executar uma segunda etapa diretamente em memória. Na outra, um carregador chamado BamboLoader — um binário C++ fortemente ofuscado que se registra como serviço do Windows— decifra e descomprime shellcode que depois injeta em processos legítimos como taskhost.exe. Ambas as rotas mostram sobreposições operacionais e sugerem uma infraestrutura reutilizável concebida para evasão e versatilidade.
A terceira via é uma campanha de phishing focalizada, com maior incidência relatada no Uzbequistão, que emprega acessos diretos do Windows (arquivos LNK) como senhe. Esses atalhos ativam comandos que executam o código PowerShell, desencadeando a extração e execução de múltiplos arquivos: um documento señuelo para distrair o usuário, um executável legítimo vulnerável a sideloading (GameHook.exe), o DLL maliciosa que atua como BamboLoader e um arquivo encriptado que contém a carga útil do Cobalt Strike. Na prática, ao abrir o senhô o usuário não percebe atividade anómala enquanto, em segundo plano, se carrega e executa a ferramenta maliciosa.
Os operadores do Silver Dragon não ficam apenas no acesso inicial: exibem uma bateria de utilitários para se mover lateralmente, coletar informações e manter persistência. Entre elas aparecem ferramentas de monitoramento de tela (.NET) para capturar capturas periódicas e a posição do cursor, utilitários SSH para execução remota e transferência de arquivos, e um backdoor que interage com o Google Drive como canal de comando e controle. Este backdoor soba de "latidos" com informações básicas do computador e usa extensões de arquivo como sinalizadores para diferentes tipos de tarefas, enviando resultados em formatos que facilitam a sincronização com o servidor do atacante na nuvem.
A atribuição de APT41 não se apoia apenas na geopolítica visível nas vítimas; emerge de coincidências no modo de operar, scripts de instalação pós-explotação já observados em campanhas anteriores e mecanismos criptográficos em loaders que foram associados previamente a atividade com ligações na China. O Google Cloud também tem documentado intrusões de APT41 e seu uso de múltiplas exploits em campanhas globais, o que ajuda a contextualizar a persistência e a adaptabilidade deste ator: Análise do Google Cloud. Para compreender melhor a organização e táticas atribuídas a grupos como APT41, o repositório do MITRE oferece referências úteis sobre sua classificação e técnicas: MITRE APT41 e sobre técnicas específicas como AppDomain hijacking: AppDomain hijacking (MITRE).
Que implicações práticas deixa este panorama para organizações e responsáveis pela segurança? Em primeiro lugar, é preciso reconhecer que os vetores combinados —exposição de serviços na Internet e spear-phishing — exigem uma estratégia que seja tanto preventiva como baseada em detecção. O adesivo e a redução da superfície de ataque em servidores expostos continuam a ser medidas básicas, mas críticas, enquanto as soluções de filtragem e sandboxing para anexos e a monitorização de comportamento podem interceptar muitas cadeias antes de se tornarem cargas em memória. Além disso, a detecção de padrões como DLL sideloading, injeção em processos legítimos e tráfego DNS anómalo deve fazer parte das regras de monitoramento e resposta.
Por último, o caso de Silver Dragon lembra que as ameaças persistentes são constantemente atualizadas: testem novas técnicas, combinam infraestruturas e reutilizam componentes com ligeiras variações para esquivar assinaturas estáticas. A comunidade de segurança compartilha inteligência e ferramentas para mitigar esses riscos, pelo que manter-se informado através de análises públicas e avisos de fornecedores e organismos é essencial. Relatórios como o Check Point e publicações técnicas de plataformas reputadas permitem que equipes defensores adaptem regras, indicadores de compromissos e playbooks de resposta com informações frescas e corroboradas.
Se você quer aprofundar este tipo de campanhas e defesas recomendadas, relatórios técnicos e bases de conhecimento de fornecedores e organizações como Check Point, Google Cloud e MITRE são um bom ponto de partida: Check Point, Google Cloud e MITRE ATT&CK.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...