Um threat actor com ligações à China foi associado a uma invasão em várias ondas contra uma empresa de petróleo e gás do Azerbaijão, cujo nome não foi divulgado, entre o fim de dezembro de 2025 e o fim de fevereiro de 2026.
O caso indica uma ampliação do alvo.
A atividade foi atribuída pela Bitdefender, com confiança moderada a alta, ao grupo de hackers conhecido como FamousSparrow, também identificado como UAT-9244.
O grupo compartilha algum grau de semelhança tática com os clusters rastreados como Earth Estries e Salt Typhoon.
O ataque abriu caminho para a instalação de dois backdoors distintos ao longo de três ondas separadas.
Foram eles o Deed RAT, também chamado Snappybee, sucessor do ShadowPad e usado por vários grupos de espionagem ligados à China, e o TernDoor, descoberto recentemente em ataques contra infraestrutura de telecomunicações na América do Sul desde 2024.
Um dos pontos mais relevantes da campanha é que os invasores exploraram repetidamente o mesmo ponto de entrada vulnerável no Microsoft Exchange Server, apesar de várias tentativas de correção.
Em cada ocasião, trocaram o backdoor usado: Deed RAT em 25 de dezembro de 2025, TernDoor no fim de janeiro e início de fevereiro de 2026, e uma versão modificada do Deed RAT no fim de fevereiro de 2026.
Os atacantes teriam explorado a cadeia ProxyNotShell para obter acesso inicial.
“Esse alvo amplia o conjunto conhecido de vítimas do FamousSparrow para uma região em que o papel do Azerbaijão na segurança energética europeia aumentou de forma material após o vencimento, em 2024, do acordo de trânsito de gás da Rússia para a Ucrânia e as interrupções no Estreito de Ormuz em 2026”, afirmou a empresa romena de cibersegurança em relatório compartilhado.
“A intrusão mostra que os agentes vão explorar e reexplorar o mesmo caminho de acesso até que a vulnerabilidade original seja corrigida, as credenciais comprometidas sejam trocadas e a capacidade do invasor de retornar seja totalmente interrompida.”
Após o acesso inicial, os invasores teriam tentado implantar web shells para manter uma posição persistente no ambiente e, por fim, distribuíram o Deed RAT usando uma técnica evoluída de DLL side-loading.
O método aproveita o binário legítimo do LogMeIn Hamachi para carregar e executar uma DLL maliciosa responsável por rodar o payload principal.
“Diferentemente do DLL side-loading padrão, que depende de uma simples substituição de arquivo, esse método substitui duas funções exportadas específicas dentro da biblioteca maliciosa”, explicou a Bitdefender.
“Isso cria um gatilho em duas etapas que condiciona a execução do loader do Deed RAT ao fluxo natural de controle do aplicativo hospedeiro, o que evolui ainda mais as capacidades de evasão de defesa do DLL side-loading tradicional.”
Também foram identificados movimentos laterais para ampliar o acesso dentro da rede comprometida e estabelecer uma posição redundante, aumentando a resiliência caso a atividade fosse detectada e removida.
A segunda onda ocorreu quase um mês depois da invasão inicial.
Nessa etapa, o adversário tentou, sem sucesso, usar DLL side-loading para distribuir o TernDoor por meio do Mofu Loader, um loader de shellcode já associado ao GroundPeony.
A empresa do Azerbaijão foi alvo pela terceira vez no fim de fevereiro de 2026, quando os threat actors voltaram a tentar implantar uma versão modificada do Deed RAT, indicando esforços contínuos para refinar e evoluir seu arsenal de malware.
Esse artefato usa “sentinelonepro[.]com” para command and control (C2).
“Essa intrusão não deve ser vista como um comprometimento isolado, mas como uma operação sustentada e adaptável conduzida por um agente que buscou repetidamente recuperar e ampliar o acesso dentro do ambiente da vítima”, afirmou a Bitdefender.
“Ao longo de várias ondas de atividade, o mesmo caminho de acesso foi revisitado, novos payloads foram introduzidos e outros pontos de permanência foram estabelecidos, o que evidencia um alto grau de persistência e disciplina operacional.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...