Em setembro de 2025, uma embaixada europeia em Nova Délhi, capital da Índia, e diversas organizações no Sri Lanka, Paquistão e Bangladesh foram alvos de uma nova campanha coordenada pelo grupo cibercriminoso conhecido como SideWinder.
De acordo com o relatório publicado pela Trellix, os pesquisadores Ernesto Fernández Provecho e Pham Duy Phuc destacam que a ação apresenta uma evolução significativa nas TTPs (Tactics, Techniques and Procedures) do SideWinder.
Agora, além das tradicionais explorações via Microsoft Word, o grupo adotou uma nova cadeia de infecção baseada em documentos PDF e na tecnologia ClickOnce.
Os ataques ocorreram em quatro ondas, de março a setembro de 2025, por meio do envio de e-mails spear-phishing direcionados.
O objetivo era distribuir famílias de malware, como ModuleInstaller e StealerBot, para capturar informações sensíveis dos sistemas infectados.
O módulo ModuleInstaller atua como downloader das próximas etapas do ataque, incluindo a entrega do StealerBot.
Este último é um implante desenvolvido em .NET, capaz de abrir uma reverse shell, instalar malware adicional e coletar uma ampla gama de dados, como capturas de tela, digitação, senhas e arquivos armazenados na máquina comprometida.
Vale lembrar que os malwares ModuleInstaller e StealerBot foram documentados publicamente pela Kaspersky em outubro de 2024.
Naquela ocasião, os ataques também tinham como foco entidades de alto perfil e infraestruturas estratégicas no Oriente Médio e na África.
Mais recentemente, em maio de 2025, a Acronis revelou que o SideWinder lançava ataques contra órgãos governamentais do Sri Lanka, Bangladesh e Paquistão por meio de documentos infectados que exploravam vulnerabilidades conhecidas do Microsoft Office.
O objetivo era estabelecer uma cadeia de ataque multietapas para instalar o StealerBot.
A nova leva de ataques, monitorada pela Trellix a partir de 1º de setembro de 2025 e voltada especificamente para embaixadas indianas, se vale de documentos Word e PDF enviados via phishing.
Títulos como “Inter-ministerial meeting Credentials.pdf” e “India-Pakistan Conflict – Strategic and Tactical Analysis of the May 2025.docx” foram usados para atrair as vítimas.
Os e-mails partiam do domínio “mod.gov.bd.pk-mail[.]org”, criado para se passar pelo Ministério da Defesa do Paquistão.
Conforme detalha a Trellix, o vetor inicial começa sempre com um arquivo PDF que não pode ser exibido corretamente ou um documento Word contendo um exploit.
Nos PDFs, há um botão que orienta o usuário a baixar a versão mais recente do Adobe Reader para visualizar o conteúdo.
Ao clicar, o usuário dispara o download de uma aplicação ClickOnce hospedada no servidor remoto “mofa-gov-bd.filenest[.]live”.
Ao ser executada, essa aplicação realiza sideloading de uma DLL maliciosa chamada “DEVOBJ.dll” e, ao mesmo tempo, abre um documento PDF falso para não levantar suspeitas.
A aplicação ClickOnce utilizada é legítima, assinada digitalmente, e trata-se de um executável da MagTek Inc.
chamado “ReaderConfiguration.exe”, que se mascara como o Adobe Reader para evitar detecção.
Além disso, as requisições ao servidor de comando e controle (C2) são bloqueadas geograficamente para a região da Ásia do Sul, enquanto o caminho para download do payload é gerado dinamicamente, dificultando ainda mais a análise técnica.
A DLL maliciosa descriptografa e executa um loader em .NET, o ModuleInstaller, que faz o reconhecimento do sistema infectado e, em seguida, entrega o malware StealerBot.
Esses achados revelam um esforço contínuo do grupo para aprimorar seu modus operandi e superar as defesas de segurança, com o objetivo final de espionagem cibernética.
“A campanha de phishing em múltiplas ondas demonstra a capacidade do grupo de criar iscas altamente específicas para diferentes alvos diplomáticos, indicando um entendimento sofisticado dos contextos geopolíticos”, afirma a Trellix.
“O uso constante de malwares customizados como ModuleInstaller e StealerBot, junto com a exploração inteligente de aplicações legítimas para sideloading, evidencia o compromisso do SideWinder com técnicas avançadas de evasão e objetivos de espionagem.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...