Um grupo hacktivista pró-Ucrânia chamado PhantomCore foi atribuído a ataques que têm como alvo servidores com o software de videoconferência TrueConf na Rússia desde setembro de 2025.
A informação consta de um relatório publicado pela Positive Technologies, que identificou os threat actors explorando uma cadeia de exploit composta por três vulnerabilidades para executar comandos remotamente em servidores suscetíveis.
“Apesar de não haver exploits dessa cadeia de vulnerabilidades em acesso público, os atacantes do PhantomCore conseguiram conduzir suas pesquisas e reproduzir as falhas, o que levou a um grande número de casos de exploração em organizações russas”, afirmaram os pesquisadores Daniil Grigoryan e Georgy Khandozhko.
Também conhecido como Fairy Trickster, Head Mare, Rainbow Hyena e UNG0901, PhantomCore é o nome atribuído a uma quadrilha de hackers motivada por interesses políticos e financeiros, ativa desde 2022, após a guerra russo-ucraniana.
Os ataques do grupo são conhecidos por roubar dados sensíveis e interromper redes-alvo, e em alguns casos até implantar ransomware com base no código-fonte vazado de Babuk e LockBit.
“O grupo conduz operações em larga escala mantendo forte discrição, permanecendo invisível nas redes das vítimas por longos períodos, o que é viabilizado por atualizações contínuas e pela evolução de ferramentas ofensivas próprias”, observou a empresa em setembro de 2025.
As vulnerabilidades do TrueConf Server exploradas nos ataques são as seguintes:
BDU:2025-10114, com pontuação CVSS de 7,5, uma vulnerabilidade de controle de acesso insuficiente que pode permitir a um atacante fazer requisições a determinados endpoints administrativos (/admin/*) sem autenticação.
BDU:2025-10115, com pontuação CVSS de 7,5, uma vulnerabilidade que pode permitir a leitura de arquivos arbitrários no sistema.
BDU:2025-10116, com pontuação CVSS de 9,8, uma vulnerabilidade de injeção de comandos que pode permitir a execução de comandos arbitrários do sistema operacional.
A exploração bem-sucedida das três falhas pode permitir que um atacante burle a autenticação e obtenha acesso à rede da organização.
Embora os patches para corrigir os problemas tenham sido lançados pela TrueConf em 27 de agosto de 2025, os primeiros ataques contra servidores TrueConf foram detectados por volta de meados de setembro de 2025, segundo a Positive Technologies.
Nos ataques observados pela empresa russa de segurança, a violação do TrueConf Server permitiu que os threat actors o usassem como ponto de partida para se mover lateralmente pela rede interna e implantar payloads maliciosos destinados a reconhecimento, evasão de defesa e coleta de credenciais, além de estabelecer canais de comunicação por meio de utilitários de tunelamento.
Ao menos uma dessas invasões bem-sucedidas levou à implantação de uma web shell baseada em PHP, capaz de enviar arquivos ao host infectado e executar comandos remotos, além de um arquivo PHP que funciona como servidor proxy para disfarçar solicitações maliciosas como se viessem de um servidor legítimo.
Outras ferramentas entregues no ataque incluem:
PhantomPxPigeon, um cliente malicioso do TrueConf que implementa uma reverse shell para se conectar a um servidor remoto e receber tarefas para execução posterior, permitindo executar comandos, iniciar executáveis e fazer o tráfego passar pela web shell mencionada.
PhantomSscp (DLL), MacTunnelRat (PowerShell) e PhantomProxyLite (PowerShell), usados para estabelecer uma posição inicial em um ambiente comprometido por meio de um túnel SSH reverso.
ADRecon, para reconhecimento.
Veeam-Get-Creds, uma versão modificada de um script PowerShell para recuperar senhas relacionadas ao software Veeam Backup & Replication.
DumpIt e MemProcFS, para coleta de credenciais.
Windows Remote Management (WinRM) e Remote Desktop Protocol (RDP), para movimentação lateral dentro do perímetro da rede.
Velociraptor, para acesso remoto.
microsocks, rsocx e tsocks, para controlar hosts comprometidos a partir de uma infraestrutura sob comando do atacante usando um proxy SOCKS.
Em algumas intrusões, uma DLL foi usada para criar um usuário indevido chamado “TrueConf2” com privilégios administrativos em um servidor de videoconferência comprometido.
As cadeias de ataque do PhantomCore também passaram a usar iscas de phishing para obter acesso inicial a organizações russas, com registros mais recentes em janeiro e fevereiro de 2026, utilizando arquivos ZIP ou RAR adulterados para distribuir um backdoor capaz de executar comandos remotos no host e servir payloads arbitrários.
“O PhantomCore é um dos grupos mais ativos no cenário de ameaças russo”, concluíram os pesquisadores.
“Seu arsenal inclui tanto ferramentas disponíveis publicamente quanto ferramentas proprietárias.
O grupo mira organizações governamentais e privadas em uma ampla variedade de setores.”
“O PhantomCore busca ativamente vulnerabilidades em softwares domésticos, desenvolve exploits e, com isso, ganha a capacidade de infiltrar um grande número de empresas russas.”
Nos últimos meses, setores industrial e de aviação na Rússia têm sido alvo de campanhas de phishing orquestradas por um grupo motivado financeiramente chamado CapFIX, que distribui um backdoor apelidado de CapDoor.
O malware pode executar comandos PowerShell, DLLs e executáveis obtidos de um servidor remoto, instalar arquivos MSI e capturar telas.
O nome CapFIX é uma referência ao fato de que o CapDoor foi descoberto em 2025 e distribuído com o uso da tática de engenharia social ClickFix.
Uma análise mais profunda das campanhas do threat actor em outubro e novembro de 2025 revelou o uso de ClickFix para distribuir famílias de malware prontas para uso, como AsyncRAT e SectopRAT.
“Embora o grupo anteriormente recorresse a e-mails de phishing com temas financeiros, como criptomoedas e qualquer assunto relacionado a dinheiro, agora ele passa a mascarar cada vez mais suas mensagens como comunicações oficiais de órgãos governamentais”, afirmou a Positive Technologies.
PhantomCore e CapFIX estão entre um conjunto crescente de clusters de atividade maliciosa que vêm atacando entidades russas.
Outros grupos de destaque incluem:
Geo Likho, que mira principalmente os setores de aviação e transporte marítimo na Rússia e na Bielorrússia desde julho de 2024, usando ataques de phishing que distribuem malware de roubo de informações.
Casos isolados de infecção também foram detectados na Alemanha, Sérvia e Hong Kong, e suspeita-se que tenham sido acidentais.
Mythic Likho, que usa iscas de phishing por e-mail para distribuir loaders como HuLoader, Merlin, um agente do Mythic, ou ReflectPulse, projetados para descompactar o payload final, um backdoor chamado Loki, uma versão compatível com Mythic de um agente criado para o framework Havoc de pós-exploração.
Evidências indicam que o grupo mantém vínculos com outro grupo conhecido como ExCobalt, devido ao uso do rootkit proprietário deste, o Megatsune.
Paper Werewolf, também conhecido como GOFFEE, que usou um canal dedicado no Telegram para distribuir um trojan chamado EchoGather sob o pretexto de uma ferramenta para adicionar dispositivos Starlink a uma lista de exceções, além de compartilhar links para páginas de phishing criadas para capturar credenciais da conta Telegram das vítimas.
O grupo também foi observado usando um site falso que anunciava um simulador de piloto de drone para distribuir o EchoGather.
Versatile Werewolf, também conhecido como HeartlessSoul, que usou sites falsos, como “stardebug[.]app”, para distribuir instaladores MSI falsos do Star Debug, uma ferramenta alternativa para gerenciar dispositivos Starlink, e implantar o framework de pós-exploração Sliver.
Outro site ligado ao threat actor, “alphafly-drones[.]com”, usou aplicativos falsos de simulador de drone para provavelmente distribuir o SoullessRAT, um trojan para Windows capaz de executar comandos, enviar arquivos, capturar telas e executar binários.
Eagle Werewolf, um grupo de ameaças até então não documentado, que comprometeu canais do Telegram voltados a drones para distribuir AquilaRAT por meio de um dropper em Rust disfarçado de checklist para ativação de dispositivos Starlink.
O AquilaRAT, um trojan baseado em Rust, pode realizar operações com arquivos e executar comandos.
“Apesar de compartilharem um objetivo comum e empregarem técnicas semelhantes, os clusters operavam de forma autônoma, sem evidências de coordenação direta”, afirmou a empresa russa de cibersegurança BI.ZONE.
“Além da distribuição de malware, o Paper Werewolf sequestra contas no Telegram.
O cluster provavelmente as usa como canais de confiança para apoiar ataques futuros.
O Versatile Werewolf utiliza IA generativa para desenvolver ferramentas usadas em suas operações, acelerando o processo de desenvolvimento.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...