Hackers têm explorado vulnerabilidades no SolarWinds Web Help Desk (WHD) para implantar ferramentas legítimas com fins maliciosos, incluindo o Zoho ManageEngine, uma solução de monitoramento e gerenciamento remoto.
Pelo menos três organizações foram alvo desses ataques.
Os criminosos também utilizaram túneis do Cloudflare para garantir persistência e empregaram o Velociraptor, uma ferramenta de resposta a incidentes cibernéticos, como canal de comando e controle (C2).
A atividade maliciosa foi identificada no último fim de semana por pesquisadores da Huntress Security, que acreditam se tratar de uma campanha iniciada em 16 de janeiro, aproveitando falhas recentemente divulgadas no SolarWinds WHD.
Segundo a Huntress, "em 7 de fevereiro de 2026, o analista Dipo Rodipe, do SOC da Huntress, investigou um caso de exploração do SolarWinds Web Help Desk no qual o invasor rapidamente instalou o Zoho Meetings, túneis do Cloudflare para manter persistência, além do Velociraptor para controle remoto".
A empresa de cibersegurança informou que os atacantes exploraram as vulnerabilidades
CVE-2025-40551
— alertada pela agência CISA na semana passada como já em uso ativo — e
CVE-2025-26399
.
Ambas possuem criticidade máxima e permitem a execução remota de código na máquina alvo sem necessidade de autenticação.
É importante destacar que pesquisadores da Microsoft também detectaram uma intrusão em múltiplas fases envolvendo instâncias expostas do SolarWinds Web Help Desk, embora não tenham confirmado o uso dessas duas vulnerabilidades específicas.
Após obter o acesso inicial, os invasores instalaram o agente Zoho ManageEngine Assist via arquivo MSI baixado da plataforma Catbox.
Essa ferramenta foi configurada para acesso remoto silencioso e vinculada a uma conta Zoho Assist associada a um endereço anônimo do Proton Mail.
O Zoho Assist permitiu controle direto do teclado remoto e reconhecimento do Active Directory (AD).
Além disso, foi usado para implantar o Velociraptor, também baixado como MSI a partir de um bucket no Supabase.
O Velociraptor é uma ferramenta legítima de digital forensics e incident response (DFIR) que a Cisco Talos havia alertado recentemente estar sendo abusada em ataques de ransomware.
Na campanha observada, ele funcionou como framework de comando e controle, comunicando-se com os invasores por meio do Cloudflare Workers.
Os pesquisadores apontaram que a versão usada do Velociraptor (0.73.4) está desatualizada e possui uma falha que permite elevação de privilégios no sistema comprometido.
Além disso, os atacantes instalaram o Cloudflared diretamente do repositório oficial do Cloudflare no GitHub, usando-o como canal de acesso redundante, baseado em túneis, para fortalecer a persistência no ambiente.
Em alguns casos, a persistência foi mantida por meio de uma tarefa agendada chamada TPMProfiler, que abre uma backdoor SSH via QEMU.
Para evitar bloqueios, os invasores também desabilitaram o Windows Defender e o Firewall do Windows por meio de modificações no registro do sistema.
Segundo os pesquisadores, "aproximadamente um segundo após desabilitar o Defender, o atacante baixou uma nova cópia do executável do VS Code".
Como medida preventiva, administradores de sistema devem atualizar o SolarWinds Web Help Desk para a versão 2026.1 ou superior, eliminar o acesso público às interfaces administrativas do WHD pela internet e redefinir todas as credenciais vinculadas ao produto.
A Huntress compartilhou regras Sigma e indicadores de comprometimento para auxiliar na detecção de atividades relacionadas ao Zoho Assist, Velociraptor, Cloudflared, túneis VS Code, instalações silenciosas de MSI e execuções codificadas de PowerShell.
Nem a Microsoft nem a Huntress atribuíram esses ataques a grupos específicos, e nada foi divulgado sobre os alvos além do comentário da Microsoft, que classificou os ambientes comprometidos como “ativos de alto valor”.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...