O grupo de ameaças conhecido como Jewelbug tem intensificado seus ataques a órgãos governamentais na Europa desde julho de 2025, mantendo simultaneamente operações contra alvos no Sudeste Asiático e na América do Sul.
A Check Point Research monitora essa ameaça sob o codinome Ink Dragon, que também é referenciada pela comunidade de cibersegurança como CL-STA-0049, Earth Alux e REF7707.
Alinhado à China, o grupo está ativo desde pelo menos março de 2023.
Segundo a Check Point, em relatório técnico divulgado na última terça-feira, as campanhas do Ink Dragon combinam engenharia de software avançada, playbooks operacionais rigorosos e a reutilização de ferramentas nativas das plataformas, o que permite que suas ações se misturem ao tráfego legítimo das empresas.
Essa combinação torna suas invasões eficazes e furtivas.
Eli Smadja, gerente de Produtos e P&D da Check Point Software, afirmou ao The Hacker News que as operações continuam ativas e já impactaram dezenas de vítimas, incluindo entidades governamentais e empresas de telecomunicações na Europa, Ásia e África.
A primeira exposição pública do Ink Dragon ocorreu em fevereiro de 2025, quando Elastic Security Labs e Palo Alto Networks Unit 42 detalharam o uso da backdoor FINALDRAFT (também chamada Squidoor), capaz de infectar sistemas Windows e Linux.
Nos últimos meses, o grupo também foi atribuído a uma intrusão de cinco meses contra um provedor russo de serviços de TI.
As cadeias de ataque desse adversário exploram vulnerabilidades em aplicações web expostas na internet para instalar web shells.
Esses web shells servem de base para o lançamento de payloads adicionais, como o VARGEIT e beacons do Cobalt Strike, facilitando controle remoto (C2), reconhecimento, movimentação lateral, evasão de defesas e exfiltração de dados.
Outro backdoor relevante no arsenal do grupo é o NANOREMOTE, que utiliza a API do Google Drive para transferir arquivos entre o servidor C2 e os endpoints comprometidos.
A Check Point, porém, não identificou esse malware nas investigações das intrusões que acompanhou.
Smadja explicou que o grupo pode escolher suas ferramentas conforme o ambiente da vítima, as necessidades operacionais e o desejo de se misturar ao tráfego legítimo.
O Ink Dragon também explora chaves de máquina ASP.NET previsíveis ou mal configuradas para realizar ataques de desserialização de ViewState contra servidores IIS e SharePoint vulneráveis.
Após essa exploração, o grupo instala um módulo personalizado chamado ShadowPad IIS Listener, transformando os servidores comprometidos em proxies do seu C2, o que amplia a resiliência da infraestrutura.
Segundo a Check Point, essa arquitetura permite que o atacante roteie comandos e tráfego não só dentro da rede de uma única organização, mas também entre diferentes redes de vítimas, criando uma infraestrutura multilayer global.
Isso transforma cada sistema comprometido em um nó de uma rede controlada pelos operadores, potencializando campanhas em múltiplas regiões por meio da reutilização estratégica de ativos previamente invadidos.
O módulo listener também pode executar comandos no servidor IIS, garantindo ao grupo maior controle para realizar reconhecimento e preparar o ambiente para payloads maliciosas.
Além da exploração das chaves ASP.NET, foi observado que o grupo explora falhas no ToolShell do SharePoint para implantar web shells.
Entre outras técnicas empregadas pelo Ink Dragon, destacam-se:
- Uso da chave IIS para obter credenciais administrativas locais e promover movimentação lateral via túneis RDP;
- Criação de tarefas agendadas e instalação de serviços para garantir persistência;
- Captura de dumps do LSASS e extração de hives do registro para escalonamento de privilégios;
- Modificação das regras do firewall local para permitir tráfego de saída, transformando os hosts infectados em parte da rede de retransmissão ShadowPad.
Em um caso específico, o ator encontrou uma sessão RDP inativa, porém conectada, pertencente a um administrador de domínio autenticado via Network Level Authentication (CredSSP) com fallback NTLMv2.
Isso possibilitou a extração do token de logon e, provavelmente, da chave NTLM em memória pelo LSASS.
Com acesso SYSTEM, o invasor realizou operações SMB autenticadas, manipulou compartilhamentos administrativos e exfiltrou arquivos sensíveis como NTDS.dit e hives do registro, alcançando controle total e escalonamento de privilégios em todo o domínio.
As invasões do Ink Dragon dependem de uma variedade de componentes, em vez de um único backdoor ou framework monolítico, para manter o acesso.
Entre eles, destacam-se:
- ShadowPad Loader, que decripta e executa o módulo principal ShadowPad em memória;
- CDBLoader, que utiliza o Microsoft Console Debugger ("cdb.exe") para rodar shellcode e carregar payloads criptografados;
- LalsDumper, responsável por extrair dumps do LSASS;
- 032Loader, usado para decriptar e executar payloads;
- FINALDRAFT, uma versão atualizada da ferramenta de administração remota que abusa do Outlook e da Microsoft Graph API para comunicações C2.
A Check Point também identificou uma nova variante do malware FINALDRAFT, com melhorias significativas em furtividade, maior capacidade de exfiltração e técnicas avançadas de evasão.
Ela permite movimentação lateral discreta e implantação de malware em múltiplas etapas dentro das redes comprometidas.
O operador envia documentos codificados para a caixa de entrada da vítima, que o implant decodifica e executa modularmente.
Outro ponto revelado foi a detecção do ator REF3927 (também chamado RudePanda) em ambientes que foram alvo do Ink Dragon, sem indícios, porém, de ligação operacional entre eles.
A suspeita é de que os dois grupos exploram métodos semelhantes para obter acesso inicial.
A Check Point conclui que o modelo de ameaça do Ink Dragon elimina a distinção entre “host comprometido” e “infraestrutura de comando”.
Cada ponto invadido passa a ser um nó dentro de uma rede maior, controlada remotamente e que se fortalece a cada nova vítima.
Para os defensores, isso significa que as invasões devem ser encaradas como partes de um ecossistema externo gerenciado pelos atacantes.
Derrubar um único nó não basta, é preciso identificar e desmantelar toda a cadeia de retransmissão.
A arquitetura relay-centric do Ink Dragon é um dos usos mais maduros do ShadowPad já observados, representando um modelo de acesso persistente, multifuncional e de longo prazo, fundamentado na reutilização estratégica dos próprios sistemas vítimas.
Se achou este artigo relevante, siga-nos no Google News, Twitter e LinkedIn para acessar conteúdos exclusivos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...