Novo malware GoSerpent mira governos e diplomatas do Sudeste Asiático em campanha de espionagem
17 de Julho de 2026

Pesquisadores de cibersegurança descobriram um malware até então não documentado, chamado GoSerpent, que vem sendo usado em ataques cibernéticos contra entidades do Sudeste Asiático desde o fim de 2025, com foco em acesso de longo prazo e coleta de inteligência.

A empresa russa de cibersegurança Kaspersky, que identificou a atividade em fevereiro de 2026, afirmou que os alvos eram entidades governamentais e diplomáticas da região.

O GoSerpent foi projetado para se comunicar com um servidor externo e implantar payloads secundários voltados à coleta de dados sensíveis e ao descarregamento de credenciais no sistema.

“O monitoramento das atividades desse threat actor revelou que, em maio de 2026, ele voltou com um conjunto evoluído de ferramentas maliciosas: um novo RAT Stowaway e uma ferramenta de proxy que lembravam o malware inicial, além de uma ferramenta adicional e furtiva para exfiltrar dados sensíveis coletados ao longo dos meses anteriores por meio de compartilhamento de rede”, disse a pesquisadora de segurança Noushin Shabab.

O objetivo final dessas ações é reunir arquivos sensíveis e prepará-los para exfiltração posterior usando uma ferramenta de coleta de dados chamada ThumbcacheService.

Os ataques também empregaram ferramentas de descarregamento de credenciais via GoSerpent para capturar credenciais do sistema necessárias para facilitar a exfiltração de dados por unidades compartilhadas em rede.

Versões anteriores desse implante baseado em Go e do trojan de acesso remoto, ou RAT, vêm sendo usadas desde 2021 contra vítimas no Sudeste Asiático, e variantes mais recentes foram implantadas ainda neste ano.

O malware funciona ao receber argumentos de linha de comando criptografados e codificados em Base64, contendo o endereço de command and control, ou C2, e a senha de comunicação.

Após a descriptografia, o backdoor se conecta ao servidor C2 por meio de uma conexão criptografada, na qual o hash SHA256 da senha de comunicação serve como chave de criptografia.

A lista de comandos suportados inclui:

- Alertar o servidor sobre uma infecção ativa
- Iniciar a escuta em uma porta específica
- Fechar uma porta de escuta
- Conectar-se a um servidor remoto
- Abrir um shell na máquina infectada
- Enviar um arquivo ou diretório ao servidor
- Fazer download do servidor
- Iniciar um proxy SOCKS5 na máquina infectada
- Encaminhar para um nó conectado

“O GoSerpent pode estabelecer servidores proxy SOCKS5 para rotear o tráfego por meio de hosts comprometidos, permitindo que os hackers acessem outras redes enquanto mascaram seus endereços IP reais”, explicou a Kaspersky.

“O backdoor é capaz de implantar ferramentas maliciosas adicionais, incluindo o ThumbcacheService para coleta de arquivos, o Mimikatz para descarregamento de credenciais e o QuarksDumpLocalHash para extração de hashes de senhas de contas locais.”

Outras ferramentas implantadas ao longo dos ataques incluem:

- McMx RAT, uma ferramenta básica de proxy e acesso remoto baseada em Go, uma versão leve do GoSerpent com recursos como proxy SOCKS5, encaminhamento de portas, transferência de arquivos e shell remoto
- ThumbcacheService, uma DLL que complementa o GoSerpent com um mecanismo sofisticado de coleta de arquivos
- Mimikatz, para extrair memória do processo Local Security Authority Subsystem Service, ou LSASS, e recuperar material de credenciais
- QuarksDumpLocalHash, para extrair hashes de senhas de contas locais do hive SAM do registro

Após meses de coleta furtiva de dados, os threat actors por trás da atividade teriam retornado ao ambiente comprometido em maio de 2026 para implantar outro conjunto de ferramentas:

- Stowaway, uma ferramenta de proxy e acesso remoto com proxy SOCKS5, encaminhamento de portas, tunelamento reverso, acesso a shell remoto, transferência de arquivos e tunelamento baseado em SSH
- TmcLoader, um módulo carregador em C++ que contém um payload criptografado chamado TmcPayload
- TmcPayload, para exfiltrar dados sensíveis armazenados na máquina da vítima

“O que torna essa ameaça particularmente preocupante é a implantação estratégica de várias ferramentas com capacidades sofisticadas de coleta e exfiltração de dados”, afirmou a Kaspersky.

“A cadeia que vai do ThumbcacheService ao TmcLoader/TmcPayload demonstra um planejamento operacional sofisticado.”

Embora a atribuição definitiva ainda seja incerta, a fornecedora de segurança disse que a campanha compartilha alvos, capacidades técnicas e sobreposições operacionais com o TetrisPhantom, um “threat actor altamente qualificado e com muitos recursos” que a empresa documentou pela primeira vez em outubro de 2023, quando apontava entidades governamentais na região da Ásia-Pacífico, ou APAC.

“O atacante espionou de forma furtiva e coletou dados sensíveis de entidades governamentais da APAC ao explorar um tipo específico de unidade USB segura, protegida por criptografia de hardware para garantir o armazenamento e a transferência seguros de dados entre sistemas de computador”, observou a empresa na ocasião.

“A campanha é composta por vários módulos maliciosos, por meio dos quais o ator pode obter amplo controle sobre o dispositivo da vítima.

Isso permite executar comandos, coletar arquivos e informações de máquinas comprometidas e transferi-los para outras máquinas usando a mesma unidade USB segura, ou outra, como veículo.”

Cadeia de ataque do DoNot Team

A divulgação ocorre no momento em que a Cyderes Howler Cell detalhou uma operação direcionada de ciberespionagem orquestrada pelo DoNot Team contra instalações militares e de defesa de Bangladesh, usando e-mails de spear phishing contendo um documento RTF com malware para carregar um implante DLL que estabelece persistência por tarefa agendada disfarçada como telemetria do OneDrive, perfila o host e se comunica com um servidor C2 via HTTPS.

“O RTF usa injeção de modelo remoto para buscar uma macro VBA, com geofencing no lado do servidor restringindo a entrega do payload a vítimas dentro da região-alvo”, disseram os pesquisadores Reegun Jayapaul, Rahul Ramesh e Baskar M.

“Quando a macro é executada, ela injeta shellcode compatível com a arquitetura por meio de abuso de API baseado em callback.

O shellcode passa por várias etapas codificadas em XOR, cada uma obtida do mesmo domínio C2 com extensões de arquivo aparentemente benignas.”

O implante é então usado para entregar uma DLL de segunda etapa, “ejtest.dll”, que conta com capacidade modular de download para payloads subsequentes.

A atribuição ao DoNot Team se baseia em caminhos URI semelhantes no C2, material de chave AES correspondente, técnicas de injeção de shellcode via VBA e entrega geofenced de payloads, que serve modelos limpos para destinos não visados.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Guardsi: qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...