Organizações governamentais, financeiras e industriais da Ásia, África e América Latina são alvo de uma nova campanha de espionagem cibernética chamada PassiveNeuron, conforme revelou a Kaspersky.
A atividade foi identificada pela primeira vez em novembro de 2024, quando a empresa de segurança russa divulgou um conjunto de ataques direcionados a entidades governamentais na América Latina e no Leste Asiático, ocorridos em junho, que utilizavam novas famílias de malware denominadas Neursite e NeuralExecutor.
A operação se destaca pelo alto grau de sofisticação, com os invasores usando servidores internos já comprometidos como infraestrutura intermediária de command-and-control (C2), o que dificulta a detecção.
Segundo a Kaspersky, “o atacante consegue se movimentar lateralmente pela rede e exfiltrar dados, criando redes virtuais que permitem o roubo de arquivos até mesmo de máquinas isoladas da internet”.
Além disso, a campanha utiliza uma abordagem baseada em plugins, que se adapta dinamicamente às necessidades dos invasores.
Desde então, a empresa observou uma nova onda de infecções relacionadas ao PassiveNeuron, ocorrida de dezembro de 2024 a agosto de 2025.
Embora a autoria ainda não tenha sido confirmada, indícios apontam para grupos de ameaças de língua chinesa.
Em pelo menos um caso, os criminosos obtiveram controle remoto inicial em uma máquina comprometida com Windows Server, explorando o Microsoft SQL Server.
Embora o método exato não esteja claro, é possível que tenha sido por força bruta na senha do administrador, exploração de vulnerabilidade de SQL injection em algum aplicativo ou exploração de um exploit ainda desconhecido no software do servidor.
Independentemente do meio, os invasores tentaram instalar um web shell ASPX para executar comandos básicos, mas falharam.
Em seguida, implantaram implants avançados por meio de carregadores DLL localizados na pasta System32, incluindo:
- Neursite: backdoor modular desenvolvido em C++;
- NeuralExecutor: implant .NET personalizado que baixa cargas adicionais via TCP, HTTP/HTTPS, named pipes ou WebSockets para execução;
- Cobalt Strike: ferramenta legítima para simulação de ataques, utilizada por adversários.
O Neursite carrega uma configuração embutida para se conectar ao servidor C2, utilizando os protocolos TCP, SSL, HTTP e HTTPS.
Suas funções padrões incluem coleta de informações do sistema, gerenciamento de processos e proxy de tráfego para facilitar movimentações laterais em redes infectadas.
Também conta com um componente para download de plugins auxiliares que permitem execução de comandos shell, manipulação de arquivos e operações em sockets TCP.
A Kaspersky destacou que variantes do NeuralExecutor descobertas em 2024 acessavam endereços do servidor C2 diretamente na configuração, enquanto amostras deste ano recorrem a um repositório no GitHub para obter esses endereços, técnica conhecida como dead drop resolver.
“Uma característica marcante da campanha PassiveNeuron é o foco principal em máquinas servidoras”, comentam os pesquisadores Georgy Kucherin e Saurabh Sharma.
“Servidores expostos à internet são alvos valiosos para ameaças persistentes avançadas, pois funcionam como porta de entrada para as organizações.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...