O grupo de ameaças norte-coreano UNC4899 é suspeito de liderar uma sofisticada campanha de comprometimento em ambiente cloud em 2025, com alvo em uma organização de criptomoedas, visando o roubo de milhões de dólares em ativos digitais.
Essa atividade foi atribuída, com confiança moderada, ao ator estatal também conhecido pelos codinomes Jade Sleet, PUKCHONG, Slow Pisces e TraderTraitor.
De acordo com relatório da gigante tecnológica Google, divulgado no Cloud Threat Horizons Report do primeiro semestre de 2026, o ataque se destaca pela combinação de técnicas de engenharia social, exploração de mecanismos de transferência de dados peer-to-peer (P2P) entre dispositivos pessoais e corporativos, fluxos de trabalho DevOps e uso de estratégias conhecidas como living-off-the-cloud (LOTC).
O ataque teve início com a invasão do dispositivo pessoal de um desenvolvedor, que foi enganado por uma isca de engenharia social para baixar um arquivo compactado, supostamente relacionado a uma colaboração em projeto open-source.
Em seguida, o desenvolvedor transferiu esse arquivo para seu equipamento corporativo via AirDrop.
Utilizando seu ambiente de desenvolvimento integrado (IDE) assistido por IA, o profissional interagiu com o conteúdo do arquivo, executando um código malicioso em Python que gerou e rodou um binário simulando a ferramenta de linha de comando do Kubernetes.
Esse binário contactou um domínio controlado pelos invasores, funcionando como backdoor no computador corporativo e permitindo o acesso ao ambiente Google Cloud, provavelmente por meio de sessões autenticadas e credenciais disponíveis.
Na sequência, os atacantes realizaram uma fase inicial de reconhecimento para mapear serviços e projetos da organização.
O passo seguinte envolveu a descoberta de um bastion host, onde os adversários modificaram a política de autenticação multifator (MFA) para obter acesso e continuar o reconhecimento, incluindo a navegação em pods específicos dentro do ambiente Kubernetes.
Depois, a UNC4899 aplicou a técnica living-off-the-cloud, configurando mecanismos de persistência que alteraram as configurações de deployment do Kubernetes para executar comandos bash automaticamente na criação de novos pods; esses comandos baixavam backdoors.
Entre outras ações identificadas, destacam-se:
- Alteração dos recursos Kubernetes relacionados à plataforma CI/CD da vítima para injetar comandos que expunham tokens de contas de serviço nos logs.
- Obtenção de token para uma conta de serviço CI/CD com privilégios elevados, o que permitiu escalada de privilégios e movimentação lateral, com foco em um pod que gerenciava políticas de rede e balanceamento de carga.
- Uso do token roubado para autenticação em um pod sensível rodando em modo privilegiado, fuga do container e implantação de backdoor para acesso persistente.
- Nova rodada de reconhecimento antes de atacar uma workload responsável pela gestão de informações de clientes, incluindo identidades de usuários, segurança de contas e carteiras de criptomoedas.
- Extração de credenciais estáticas do banco de dados armazenadas de forma insegura nas variáveis de ambiente do pod.
- Utilização dessas credenciais para acessar o banco de produção via Cloud SQL Auth Proxy e executar comandos SQL que alteraram contas de usuários, como redefinições de senha e atualização do seed do MFA em contas de alto valor.
- O ataque foi finalizado com o uso das contas comprometidas para sacar milhões de dólares em ativos digitais.
Segundo o Google, o incidente destaca os riscos críticos ligados aos métodos de transferência P2P entre dispositivos pessoais e corporativos, ao uso de modos privilegiados em containers e ao manejo inseguro de segredos em ambientes cloud.
A recomendação da empresa é que as organizações adotem uma estratégia defense-in-depth, validando rigorosamente a identidade, restringindo transferências de dados em endpoints e impondo isolamento rigoroso em runtimes na nuvem para limitar os efeitos de uma intrusão.
Para mitigar ameaças similares, recomenda-se implementar acesso contextualizado e MFA resistente a phishing; garantir o uso exclusivo de imagens confiáveis; isolar nós comprometidos para impedir conexões com hosts externos; monitorar processos inesperados em containers; adotar práticas robustas de gerenciamento de segredos; aplicar políticas para desativar ou restringir compartilhamento P2P via AirDrop ou Bluetooth; e impedir a montagem de mídias externas não gerenciadas em dispositivos corporativos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...