Um grupo de ameaça persistente avançada, com uso de língua chinesa, foi associado a um novo backdoor personalizado chamado TinyRCT em uma série de ataques cibernéticos contra órgãos governamentais e infraestrutura crítica no Sudeste Asiático.
A atividade, voltada principalmente para empresas estatais dos setores de energia e governo, foi atribuída ao ator de ameaça CL-STA-1062.
Segundo a Palo Alto Networks Unit 42, o grupo tem sobreposições com o UAT-7237, coletivo de hackers identificado pela Cisco Talos em agosto de 2025 em conexão com uma campanha contra entidades de infraestrutura web em Taiwan.
A Unit 42 informou ainda ter observado campanhas do CL-STA-1062 em operações anteriores contra setores estratégicos do Leste Asiático desde março de 2022, o que indica um foco mais amplo, porém persistente, na região.
“Do ponto de vista técnico, os invasores por trás do CL-STA-1062 contam com um conjunto híbrido de ferramentas”, disse a Unit 42 em um relatório técnico.
“Embora usem com frequência ferramentas open source comuns, como SoftEther VPN, Mimikatz e VNT, eles introduziram recentemente o TinyRCT, um backdoor sob medida e até então não documentado.”
O TinyRCT foi projetado para executar comandos arbitrários, enumerar arquivos e exfiltrá-los, capturar a tela do dispositivo e se apagar do sistema comprometido.
Em uma campanha detectada em setembro de 2025, o ator de ameaça teria infiltrado um órgão governamental do Sudeste Asiático e implantado um web shell para exfiltrar dados de um servidor MS SQL.
No mesmo ataque, os invasores também teriam feito reconhecimento de rede em outra entidade governamental do mesmo país.
“Isso sugere uma tentativa de identificar oportunidades de movimento lateral e ampliar o acesso.
Em um dos casos, observamos o invasor preparando e exfiltrando um diretório inteiro com o código-fonte de um servidor web do órgão governamental”, afirmou a Unit 42, acrescentando que detectou a invasão de pelo menos 10 organizações diferentes no Sudeste Asiático entre outubro e dezembro de 2025.
Desde, no mínimo, meados de 2025, o CL-STA-1062 passou a mirar a infraestrutura crítica.
O adversário fez varreduras em múltiplas entidades da região em busca de vulnerabilidades e, em seguida, obteve acesso inicial por meio de web shells ASPX, que facilitam o reconhecimento preliminar e as requisições de saída das redes infectadas para uma infraestrutura controlada pelos invasores, abrindo caminho para a implantação de payloads adicionais.
Entre eles estão componentes do SoftEther VPN e arquivos RAR com o conjunto de ferramentas do grupo, incluindo utilitários open source como Yuze, um proxy SOCKS5, e VNT, uma VPN.
Em muitos casos, esses arquivos eram disfarçados como executáveis da VMware ou como um agente XDR, com nomes como “XDRAgent.exe”, “vmtools.exe” e “vmwared.exe”.
Uma análise mais aprofundada da infraestrutura da campanha levou à descoberta de um backdoor .NET até então não documentado, batizado de TinyRCT, ou “PerfWatson2.exe”.
Trata-se de um trojan de acesso remoto leve, capaz de fazer reconhecimento do sistema, executar comandos, enviar arquivos, capturar screenshots, assumir o controle remoto e apagar os próprios rastros, além de adotar mecanismos para evitar a execução em ambientes sandbox.
O malware estabelece um canal de comunicação persistente com um servidor remoto, “45.32.113[.]172”, via HTTP, mas criptografa os dados trocados com AES-128 no modo CBC.
“O malware opera em um modelo de beaconing, com intervalo padrão de 10 segundos entre as requisições”, explicou a Unit 42.
“Ele consulta o servidor C2 com solicitações GET e envia os dados exfiltrados por meio de requisições POST.”
Quanto à distribuição do TinyRCT, ele aparece em um arquivo malicioso chamado “chrome_setup.zip”, que contém um executável legítimo (“chrome_setup.exe”), um arquivo de configuração (“chrome_setup.exe.config”) e uma DLL maliciosa (“MyAppDomainManager.dll”).
Essa DLL é usada para disparar um ataque de injeção AppDomainManager e carregar a DLL maliciosa, que atua como downloader ao se conectar a “139.180.134[.]221” para obter “PerfWatson2.exe”.
“A combinação de ferramentas observada nessa atividade reflete uma abordagem pragmática na escolha de recursos e capacidades de ataque”, concluiu a Unit 42.
“Os invasores por trás desse grupo continuam a usar ferramentas open source comuns, como SoftEther VPN e VNT, para facilitar o movimento lateral.”
“Nossa descoberta do backdoor TinyRCT na infraestrutura dos invasores reforça a capacidade deles de personalizar ferramentas para obter funcionalidades específicas.
A combinação entre a mira em infraestrutura crítica e o desenvolvimento de malware personalizado sugere que a atividade do CL-STA-1062 continuará representando uma ameaça para a região.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...