Uma campanha dirigida a organismos governamentais do Sudeste Asiático tem aproveitado uma vulnerabilidade grave no cliente de videoconferências de TrueConf para converter seu mecanismo de atualizações em um canal de distribuição de malware. Pesquisadores de cibersegurança têm batizado a operação como TrueChaos e a exploração explorada em estado zero-dia mostrou claramente como uma falha na verificação de integridade pode transformar uma função de manutenção em uma porta traseira maciça.
O problema, identificado como CVE‐2026‐3502 e avaliado com uma pontuação CVSS de 7.8, deve-se a que o cliente de TrueConf não valida adequadamente o código que download do servidor de atualizações. Isso significa que um atacante com controle do servidor on-premises pode substituir um instalador legítimo por um manipulado, e o cliente o executará sem verificar que foi alterado. O TrueConf resolveu a fraqueza na versão do Windows 8.5.3 (lanzada no início do mês), pelo que a primeira recomendação é atualizar quanto antes os clientes afetados.
Segundo a análise pública da pesquisa, os atores que ativaram TrueChaos teriam utilizado esse vetor para implantar um instalador malicioso que, por meio de técnicas de DLL side-loading, carregou um implante dinâmico denominado "7z-x64.dll". Esse módulo mostrou comportamento de intrusão ativa: reconhecimento do ambiente, estabelecimento de persistência e descarga de cargas adicionais de um servidor FTP identificado (47.237.15[.]197). Entre os artefatos observados figura um segundo componente, "iscsiexe.dll", cuja finalidade aparente era garantir a execução de um binário legítimo renomeado ("poweriso.exe") para carregar a porta traseira. Embora o estado final do ataque não seja conhecido com absoluta precisão, as análises apontam com alta probabilidade para a implantação do quadro de comando e controle aberto Havoc.
A campanha foi relacionada, com confiança moderada, com um ator de ligações chinesas pela conjunção de táticas e artefatos: reutilização de infraestrutura no Alibaba Cloud e Tencent, emprego de DLL side-loading como técnica de carga, e coincidência temporária com tentativas contra a mesma vítima por ShadowPad, um backdoor com história em intrusões atribuídas a grupos de origem chinesa. ShadowPad já foi documentado com detalhes por assinaturas de segurança e é um bom lembrete de como os grupos sofisticados combinam ferramentas e vetores para alcançar compromissos em escala; um bom resumo técnico sobre ShadowPad pode ser visto na análise da ESET sobre esta família de backdoors ( WeLiveSecurity – ShadowPad).
O que torna especialmente perigoso o TrueChaos não é tanto a sofisticação individual de cada artefato, mas sim a simplicidade operacional: não foi necessário comprometer cada estação de trabalho separadamente. Ao comprometer o servidor central de TrueConf, os atacantes converteram a cadeia de atualizações — uma relação de confiança entre servidor e cliente — em um sistema de distribuição automática de código malicioso para as redes conectadas.
Para entender a técnica utilizada convém lembrar o que é o DLL side-loading: muitas aplicações carregam bibliotecas dinâmicas sem especificar rotas absolutas, o que permite que um atacante coloque um DLL com o mesmo nome em uma localização que a aplicação confie e inadvertidamente. MITRE documenta essa técnica e suas variantes, e oferece um guia útil para detecção e mitigação ( MITRE ATT&CK – DLL Side-Loading).
Se a sua organização usar o TrueConf e gerir um servidor on-premises, estas são acções práticas e prioritárias: atualizar os clientes Windows para a versão 8.5.3 ou superior, rever a integridade e acesso ao servidor de atualizações, investigar se existem artefatos com os nomes observados ("7z-x64.dll", "iscsiexe.dll", "poweriso.exe") e procurar ligações salientes ou transferências a partir de/hacia a IP assinalada (47.237.15[.]197). Também é recomendável rodar credenciais, auditar contas com privilégios sobre o servidor de TrueConf e verificar os logs em busca de downloads incomuns ou de mudanças em pacotes de atualização.
Além das medidas pontuais, este incidente lembra uma lição mais ampla sobre segurança do software: os mecanismos de actualização devem incluir controlos de integridade e autenticidade sólidos(firmas digitais, verificações de hash validadas e transporte assegurado), e as infra-estruturas que distribuem software devem ser isoladas e monitorizadas com especial detalhe. CISA e outras agências publicaram guias sobre o reforço da cadeia de fornecimento de software e como proteger os processos de atualização; essa orientação é especialmente útil para administradores responsáveis por serviços críticos ( CISA – Supply Chain Security).
Para os equipamentos de detecção e resposta, convém adaptar regras e buscas a padrões associados à campanha: execução de instaladores inesperados, carga de bibliotecas DLL com nomes suspeitos por processos legítimos, atividade FTP para endereços externos incomuns e criação de persistência por binários aparentemente inocuos. As bases de dados de vulnerabilidades e a documentação técnica centralizada (como a da NVD e MITRE) são recursos úteis para correlacionar indicadores e priorizar mitigações ( NVD – National Vulnerability Database).
A pesquisa pública sobre TrueChaos reforça a narrativa – cada vez mais frequente – de que a confiança implícita em peças de infraestrutura pode ser explorada para conseguir acesso massivo. Um único servidor maltratado pode significar centenas de estações comprometidas se o modelo operacional assumir que as atualizações vêm sempre "de boa fé". A conclusão é clara: a manutenção e a segurança dos sistemas de actualização devem ser tratados com a mesma prioridade que a protecção dos próprios endpoints. Para mais informações sobre a análise da vulnerabilidade e da campanha, consulte fontes especializadas e material técnico que publiquem os equipamentos de pesquisa que monitoram a ameaça, começando pelos laboratórios de segurança e os alertas oficiais do fornecedor.
Ligações de referência: página de pesquisa geral do Check Point ( Checkpoint Research), o site oficial de TrueConf ( TrueConf), documentação sobre DLL side-loading no MITRE ATT&CK ( MITRE ATT&CK), recursos de segurança da cadeia de abastecimento em CISA ( CISA) e uma análise histórica de ShadowPad pela ESET ( WeLiveSecurity).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...