O grupo de ameaça conhecido como Dragon Breath foi identificado usando um loader multiestágio, codinome RONINGLOADER, para distribuir uma variante modificada do trojan de acesso remoto Gh0st RAT.
Essa campanha, focada principalmente em usuários de língua chinesa, utiliza instaladores trojanizados baseados em NSIS que se passam por softwares legítimos, como Google Chrome e Microsoft Teams, segundo o Elastic Security Labs.
De acordo com os pesquisadores Jia Yu Chan e Salim Bitam, a cadeia de infecção adota um mecanismo de entrega multiestágio que incorpora diversas técnicas de evasão, além de redundâncias para neutralizar produtos de segurança populares na China.
Entre as ações estão o uso de um driver com assinatura legítima, a implantação de políticas personalizadas do Windows Defender Application Control (WDAC) e a manipulação do binário do Microsoft Defender por meio do abuso do Protected Process Light (PPL).
O Dragon Breath, também conhecido como APT-Q-27 ou Golden Eye, foi destacado em maio de 2023 pela Sophos em uma campanha que usava a técnica de double-dip DLL side-loading.
Essa operação teve como alvo usuários das Filipinas, Japão, Taiwan, Singapura, Hong Kong e China.
Ativo desde pelo menos 2020, o grupo está vinculado a uma entidade maior de fala chinesa conhecida como Miuuti Group, com histórico de ataques às indústrias de jogos online e apostas.
Na campanha mais recente, documentada pelo Elastic Security Labs, os instaladores NSIS maliciosos, que imitam aplicativos confiáveis, servem como plataforma para o lançamento de dois outros instaladores NSIS incorporados.
Um deles ("letsvpnlatest.exe") é legítimo e instala o software autêntico, enquanto o segundo ("Snieoatwtregoable.exe") executa silenciosamente a cadeia de ataque.
Esse segundo instalador entrega uma DLL e um arquivo criptografado nomeado "tp.png".
A DLL interpreta o conteúdo do arquivo PNG falso e extrai um shellcode, que carrega outro binário diretamente na memória.
O RONINGLOADER, além de tentar remover hooks de usuário ao carregar uma nova cópia "limpa" do "ntdll.dll", busca elevar privilégios via comando runas e escaneia processos em execução para identificar soluções antivírus hardcoded, como Microsoft Defender Antivirus, Kingsoft Internet Security, Tencent PC Manager e Qihoo 360 Total Security.
Os processos detectados são terminados imediatamente.
No caso do Qihoo 360 Total Security, o loader adota uma abordagem distinta: bloqueia toda comunicação de rede via firewall, injeta shellcode no processo "vssvc.exe" (relacionado ao serviço Volume Shadow Copy), concede a si mesmo privilégios SeDebugPrivilege, ativa o serviço VSS, injeta código com a técnica PoolParty e utiliza um driver assinado chamado "ollama.sys" para encerrar processos específicos por meio de um serviço temporário chamado "xererre1", antes de restaurar as configurações de firewall.
Nos demais casos, o loader grava diretamente o driver em disco e cria um serviço temporário chamado "ollama" para carregar o driver e finalizar os processos-alvo, removendo o serviço posteriormente.
Após eliminar soluções de segurança no sistema comprometido, o RONINGLOADER executa scripts batch para contornar o User Account Control (UAC) e criar regras no firewall que bloqueiam conexões de entrada e saída relacionadas ao software de segurança Qihoo 360.
Além disso, o malware utiliza duas técnicas documentadas no início deste ano pelo pesquisador Zero Salarium, que exploram o abuso do PPL e do sistema Windows Error Reporting ("WerFaultSecure.exe", também chamado de EDR-Freeze) para desativar o Microsoft Defender Antivirus.
Também altera políticas do WDAC, inserindo regras maliciosas que bloqueiam explicitamente os antivírus Qihoo 360 e Huorong Security.
O objetivo final do loader é injetar uma DLL maliciosa no processo legítimo "regsvr32.exe", ocultando suas atividades e lançando uma payload posterior em processos do sistema de alta permissão, como "TrustedInstaller.exe" ou "elevation_service.exe".
A payload final é uma versão modificada do Gh0st RAT.
Esse trojan se comunica com um servidor remoto para receber comandos adicionais, permitindo configurar chaves do Windows Registry, apagar logs do Windows Event, baixar e executar arquivos de URLs específicas, modificar dados da área de transferência, rodar comandos via "cmd.exe", injetar shellcode no "svchost.exe" e executar payloads armazenados no disco.
A variante ainda possui módulos para registrar pressionamentos de tecla, conteúdos da área de transferência e títulos das janelas ativas.
Campanhas de Impersonação de Marcas Alvo Usuários de Língua Chinesa com Gh0st RAT
Essa divulgação ocorre após revelações da Palo Alto Networks Unit 42, que identificou duas campanhas de malware interligadas, usando impersonação em grande escala de marcas para infectar usuários chineses com Gh0st RAT.
Até o momento, nenhuma atribuição definitiva foi feita a atores ou grupos conhecidos.
A primeira operação, denominada Campaign Trio, ocorreu entre fevereiro e março de 2025, imitando serviços como i4tools, Youdao e DeepSeek em mais de 2.000 domínios.
Já a segunda campanha, registrada em maio de 2025 e chamada Campaign Chorus, mostrou maior sofisticação, usando a identidade de mais de 40 aplicativos, como QQ Music e o navegador Sogou.
Segundo os pesquisadores Keerthiraj Nagaraj, Vishwa Thothathri, Nabeel Mohamed e Reethika Ramesh, houve uma evolução dos ataques, que passaram de simples droppers para cadeias de infecção complexas e multiestágio, abusando de softwares legítimos e assinados para burlar defesas atuais.
Os domínios relacionados hospedam arquivos ZIP contendo os instaladores trojanizados, preparando o terreno para o lançamento do Gh0st RAT.
A segunda campanha amplia o alcance ao usar diferentes programas como isca, além de adotar uma cadeia de infecção intrincada e evasiva, com domínios de redirecionamento intermediários que buscam os ZIPs em buckets de serviços públicos de nuvem.
Essa técnica facilita a evasão de filtros de rede que bloqueiam domínios desconhecidos e aumenta a resiliência operacional do grupo.
O instalador MSI nessa campanha executa um script em Visual Basic incorporado, encarregado de descriptografar e ativar a payload final via DLL side-loading.
“A operação paralela de infraestruturas antiga e nova indica não só uma evolução, mas a coexistência de múltiplas infraestruturas e conjuntos de ferramentas”, destacam os pesquisadores.
“Isso pode indicar testes A/B de TTPs, o direcionamento de diferentes grupos de vítimas com níveis variados de complexidade ou uma estratégia econômica que aproveita recursos antigos enquanto estes funcionam.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...