Um servidor de atualização abandonado, associado ao software de input method editor (IME) Sogou Zhuyin, foi explorado por agentes de ameaça como parte de uma campanha de espionagem para distribuir diversas famílias de malware, incluindo C6DOOR e GTELAM, em ataques que focaram principalmente em usuários do Leste Asiático.
“Os atacantes empregaram cadeias de infecção sofisticadas, como atualizações de software sequestradas e páginas falsas de armazenamento em nuvem ou login, para distribuir malware e coletar informações sensíveis”, afirmaram os pesquisadores da Trend Micro, Nick Dai e Pierre Lee, em um relatório detalhado.
A campanha, identificada em junho de 2025, foi codinomeada TAOTH pela empresa de cibersegurança.
Os alvos da atividade incluem principalmente dissidentes, jornalistas, pesquisadores e líderes de tecnologia/negócios da China, Taiwan, Hong Kong, Japão, Coreia do Sul e comunidades taiwanesas no exterior.
Taiwan representa 49% de todos os alvos, seguido pelo Camboja (11%) e os EUA (7%).
Segundo o relatório, em outubro de 2024, os atacantes assumiram o controle do domínio expirado ("sogouzhuyin[.]com") relacionado ao Sogou Zhuyin, um serviço legítimo de IME que parou de receber atualizações em junho de 2019, para disseminar payloads maliciosas um mês depois.
Estima-se que algumas centenas de vítimas foram impactadas.
“O invasor tomou posse do servidor de atualização abandonado e, após registrar o domínio, passou a hospedá-lo para distribuir atualizações maliciosas desde outubro de 2024”, explicaram os pesquisadores.
Por esse canal, múltiplas famílias de malware foram implantadas, incluindo GTELAM, C6DOOR, DESFY e TOSHIS.
As famílias de malware implantadas atendem a diferentes finalidades, como acesso remoto (RAT), roubo de informações e funcionalidade de backdoor.
Para evadir detecção, os agentes de ameaça também utilizaram serviços de nuvem de terceiros para ocultar suas atividades na rede ao longo da cadeia de ataque.
Esses malwares permitem acesso remoto, roubo de informações e execução de backdoor, com os atacantes usando ainda serviços legítimos de armazenamento em nuvem, como Google Drive, para exfiltrar dados e disfarçar o tráfego malicioso.
A cadeia de ataque começa quando usuários desavisados baixam o instalador oficial do Sogou Zhuyin na internet, por exemplo, na página da Wikipedia em chinês tradicional, que em março de 2025 foi alterada para direcionar os usuários ao domínio malicioso dl[.]sogouzhuyin[.]com.
Embora o instalador seja completamente inocente, a atividade maliciosa começa quando o processo automático de atualização é disparado algumas horas após a instalação, fazendo o binário de atualização, "ZhuyinUp.exe", buscar um arquivo de configuração de atualização em uma URL embutida: "srv-pc.sogouzhuyin[.]com/v1/upgrade/version".
Esse processo de atualização foi adulterado para distribuir DESFY, GTELAM, C6DOOR e TOSHIS, com o objetivo final de perfilar e coletar dados de alvos de alto valor:
- TOSHIS (detectado pela primeira vez em dezembro de 2024): um loader projetado para buscar payloads de próxima etapa (Cobalt Strike ou agente Merlin para o framework Mythic) de servidores externos.
É uma variante do Xiangoop, atribuído ao grupo Tropic Trooper, usado anteriormente para distribuir Cobalt Strike ou o backdoor EntryShell.
- DESFY (detectado pela primeira vez em maio de 2025): spyware que coleta nomes de arquivos de duas localizações: Desktop e Program Files.
- GTELAM (detectado pela primeira vez em maio de 2025): outro spyware que coleta nomes de arquivos com extensões específicas (PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX) e exfiltra os dados para o Google Drive.
- C6DOOR: backdoor personalizado desenvolvido em Go que usa protocolos HTTP e WebSocket para command-and-control, permitindo receber instruções para coletar informações do sistema, executar comandos arbitrários, realizar operações com arquivos, enviar/baixar arquivos, capturar screenshots, listar processos em execução, enumerar diretórios e injetar shellcode em processos-alvo.
Análises adicionais do C6DOOR revelaram a presença de caracteres chineses simplificados embutidos no código, sugerindo que o grupo por trás da ameaça é proficiente em chinês.
“Parece que o atacante ainda estava na fase de reconhecimento, buscando principalmente alvos de alto valor”, disse a Trend Micro.
Como resultado, a maioria dos sistemas das vítimas não apresentou atividades de pós-exploração.
Em um dos casos analisados, o atacante estava inspecionando o ambiente da vítima e estabelecendo um túnel utilizando Visual Studio Code.
Curiosamente, há evidências de que o TOSHIS também foi distribuído a partir de um site de phishing, provavelmente em uma campanha de spear-phishing que teve como foco o Leste Asiático e, em menor escala, a Noruega e os EUA.
Os ataques de phishing adotaram uma abordagem dupla:
- Servir páginas falsas de login com iscas relacionadas a cupons grátis ou leitores de PDF que redirecionam e concedem consentimento OAuth para aplicativos controlados pelos atacantes.
- Servir páginas falsas de armazenamento em nuvem que imitam o Tencent Cloud StreamLink para que os usuários baixem arquivos ZIP maliciosos contendo o TOSHIS.
Esses e-mails de phishing incluem URLs booby-trapped e documentos isca que enganam o destinatário para interagir com o conteúdo malicioso, ativando uma sequência de ataque em múltiplas etapas projetada para instalar o TOSHIS via DLL side-loading ou obter acesso não autorizado e controle das caixas de correio Google ou Microsoft, por meio de solicitações de permissões OAuth.
A Trend Micro afirmou que o TAOTH compartilha infraestrutura e ferramentas com atividades anteriores do grupo ITOCHU, apontando para um agente persistente com foco em reconhecimento, espionagem e abuso de e-mail.
Para combater essas ameaças, as organizações são recomendadas a auditar rotineiramente seus ambientes à procura de softwares sem suporte e removê-los ou substituí-los rapidamente.
Os usuários devem revisar as permissões solicitadas por aplicativos em nuvem antes de conceder acesso.
“Na operação envolvendo o Sogou Zhuyin, o agente de ameaça manteve um perfil discreto, realizando reconhecimento para identificar alvos valiosos entre as vítimas”, explicou a empresa.
Enquanto isso, nas operações contínuas de spear-phishing, o invasor distribui e-mails maliciosos para exploração posterior.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...