Um ator de ameaças afiliado à Türkiye explorou uma falha de segurança zero-day na plataforma de comunicação empresarial indiana chamada Output Messenger como parte de uma campanha de ataque de ciberespionagem desde abril de 2024.
"Esses exploits resultaram na coleta de dados de usuários relacionados a alvos no Iraque," afirmou a equipe de Inteligência de Ameaças da Microsoft.
Os alvos do ataque estão associados ao militar curdo operando no Iraque, o que está em consonância com as prioridades de targeting anteriormente observadas na Marbled Dust.
A atividade foi atribuída a um grupo de ameaça que a Microsoft acompanha como Marbled Dust (anteriormente Silicon), que também é conhecido como Cosmic Wolf, Sea Turtle, Teal Kurma e UNC1326.
Acredita-se que o grupo de hackers esteja ativo desde pelo menos 2017, embora não tenha sido até dois anos depois que a Cisco Talos documentou ataques direcionados a entidades públicas e privadas no Oriente Médio e Norte da África.
No início do ano passado, também foi identificado como alvo de telecomunicações, mídia, provedores de serviços de internet (ISPs), provedores de serviços de tecnologia da informação (IT) e sites curdos nos Países Baixos.
A Microsoft avaliou com moderada confiança que o ator de ameaças realizou algum tipo de reconhecimento antecipadamente para determinar se seus alvos são usuários do Output Messenger e, em seguida, aproveitar o zero-day para distribuir payloads maliciosos e exfiltrar dados dos alvos.
A vulnerabilidade em questão é a
CVE-2025-27920
, uma vulnerabilidade de traversal de diretório que afeta a versão 2.0.62 e permite que atacantes remotos acessem ou executem arquivos arbitrários.
O problema foi abordado pelo seu desenvolvedor, Srimax, até o final de dezembro de 2024, com a versão 2.0.63.
No entanto, a empresa não menciona a exploração da falha em campo em seu advisory.
A cadeia de ataque começa com o ator de ameaças ganhando acesso ao aplicativo Output Messenger Server Manager como um usuário autenticado.
Acredita-se que Marbled Dust use técnicas como DNS hijacking ou domínios typo-squatting para interceptar as credenciais necessárias para autenticação.
O acesso é então abusado para coletar as credenciais do usuário do Output Messenger e explorar a
CVE-2025-27920
para soltar payloads como "OM.vbs" e "OMServerService.vbs" na pasta de inicialização do servidor e "OMServerService.exe" no diretório "Users/public/videos" do servidor.
Na próxima fase, o ator de ameaças usa "OMServerService.vbs" para invocar "OM.vbs" e "OMServerService.exe", este último sendo um backdoor Golang que contata um domínio codificado ("api.wordinfos[.]com") para exfiltração de dados.
"No lado do cliente, o instalador extrai e executa tanto o arquivo legítimo OutputMessenger.exe quanto o OMClientService.exe, outro backdoor Golang que se conecta a um domínio de comando e controle (C2) da Marbled Dust," observou a Microsoft.
Este backdoor realiza primeiro uma verificação de conectividade via uma requisição GET ao domínio C2 api.wordinfos[.]com.
Se bem-sucedida, uma segunda requisição GET é enviada ao mesmo C2 contendo informações de hostname para identificar unicamente a vítima.
A resposta do C2 é então diretamente executada usando o comando 'cmd /c', que instrui o prompt de comando do Windows a executar um comando específico e então terminar.
Em um caso envolveu um dispositivo vítima com o software cliente Output Messenger instalado conectando-se a um endereço IP previamente identificado como usado pelo Marbled Dust para provável exfiltração de dados.
A gigante da tecnologia também observou que descobriu uma segunda falha, vulnerabilidade de cross-site scripting (XSS) refletida na mesma versão (
CVE-2025-27921
), embora tenha dito que não encontrou evidência de que ela tenha sido armada em ataques reais.
"Este novo ataque indica uma mudança notável na capacidade de Marbled Dust enquanto mantém consistência em sua abordagem geral," disse a Microsoft.
O uso bem-sucedido de um exploit zero-day sugere um aumento na sofisticação técnica e também pode sugerir que as prioridades de targeting da Marbled Dust escalaram ou que seus objetivos operacionais tornaram-se mais urgentes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...