Pesquisadores em cibersegurança revelaram detalhes sobre um grupo de ameaça persistente avançada (APT) denominado Silver Dragon, associado a ataques cibernéticos contra organizações na Europa e no Sudeste Asiático desde, pelo menos, meados de 2024.
Segundo relatório técnico da Check Point, “o Silver Dragon obtém acesso inicial explorando servidores públicos de internet e enviando emails de phishing com anexos maliciosos”.
Para garantir persistência, o grupo sequestra serviços legítimos do Windows, permitindo que processos de malware se camuflem em atividades normais do sistema.
O Silver Dragon é considerado parte do guarda-chuva do APT41, um grupo chinês conhecido desde 2012 por atacar os setores de saúde, telecomunicações, alta tecnologia, educação, viagens e mídia com fins de espionagem cibernética.
Também há indícios de que realize operações com motivação financeira, possivelmente fora do controle estatal.
Os ataques atribuídos ao Silver Dragon focam principalmente em entidades governamentais, utilizando beacons do Cobalt Strike para manter acesso contínuo em sistemas comprometidos.
O grupo emprega técnicas como DNS tunneling para comunicação de command-and-control (C2), burlando sistemas de detecção.
A Check Point identificou três cadeias de infecção para distribuir o Cobalt Strike: AppDomain hijacking, service DLL e phishing por email.
As duas primeiras, AppDomain hijacking e service DLL, exibem fortes pontos em comum operacionais e são entregues via arquivos compactados, indicando uso em cenários pós-exploração, muitas vezes após exploração de servidores vulneráveis expostos publicamente.
Ambas as cadeias utilizam um arquivo RAR contendo um script batch.
Na primeira, esse script baixa o MonikerLoader, um loader baseado em .NET que descriptografa e executa a segunda fase diretamente na memória.
Essa segunda fase replica o funcionamento do MonikerLoader, servindo para carregar o payload final do beacon do Cobalt Strike.
Já a cadeia service DLL emprega um script batch para entregar um carregador de shellcode DLL chamado BamboLoader, registrado como serviço do Windows.
Trata-se de um malware em C++ fortemente ofuscado, usado para descriptografar e descompactar o shellcode armazenado em disco e injetá-lo em um processo legítimo do Windows — como “taskhost.exe” — que pode ser configurado dentro do BamboLoader.
A terceira cadeia envolve uma campanha de phishing que tem como alvo principal o Uzbequistão, utilizando atalhos maliciosos do Windows (arquivos LNK) como anexos.
Esses atalhos executam código PowerShell via “cmd.exe”, extraindo e rodando múltiplos payloads subsequentes, incluindo:
- Documento isca (decoy)
- Executável legítimo vulnerável a DLL side-loading (“GameHook.exe”)
- DLL maliciosa conhecida como BamboLoader (“graphics-hook-filter64.dll”)
- Payload criptografado do Cobalt Strike (“simhei.dat”)
Nesta campanha, o documento isca é exibido à vítima enquanto, em segundo plano, a DLL maliciosa é carregada via “GameHook.exe” para iniciar o Cobalt Strike.
Os ataques também se caracterizam pelo uso de várias ferramentas pós-exploração, como:
- SilverScreen: ferramenta .NET que captura screenshots periódicas da atividade do usuário, incluindo a posição exata do cursor.
- SSHcmd: utilitário SSH .NET para execução remota de comandos e transferência de arquivos.
- GearDoor: backdoor .NET similar ao MonikerLoader, que se comunica com a infraestrutura C2 via Google Drive.
Após ser executado, o backdoor autentica-se em uma conta Google Drive controlada pelos atacantes e envia um arquivo heartbeat com informações básicas do sistema.
Curiosamente, o malware utiliza diferentes extensões de arquivo para indicar o tipo de tarefa a ser realizada no host infectado e envia os resultados das operações para o Drive:
- *.png para enviar arquivos heartbeat
- *.pdf para receber e executar comandos, listar diretórios, criar pastas e remover arquivos, enviando resultados em arquivos *.db
- *.cab para executar operações como coleta de informações do host, listagem de processos, execução de comandos via “cmd.exe”, upload de arquivos e encerramento do malware, com resultados enviados em arquivos *.bak
- *.rar para receber payloads e, se o arquivo se chamar “wiatrace.bak”, tratá-lo como pacote de autoatualização, com retorno via .bak
- *.7z para receber e executar plugins na memória, com resultados também em .bak
A conexão do Silver Dragon com o APT41 baseia-se em semelhanças técnicas, especialmente em scripts de instalação usados pós-exploração e no mecanismo de descriptografia do BamboLoader, já observado em loaders de shellcode relacionados a grupos com nexus chinês.
“A atuação do grupo demonstra constante evolução em ferramentas e técnicas, testando e implantando novas capacidades em campanhas diversas”, explica a Check Point.
“O uso de múltiplos exploits, loaders customizados e comunicação C2 sofisticada reflete uma ameaça bem equipada e adaptável.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...