Um grupo de ameaças persistentes avançadas (APT) do nexo da China tem conduzido uma campanha de espionagem sustentada visando setores governamentais e de mídia em todo o Sudeste Asiático, aproveitando técnicas sofisticadas de sideload de DLL como vetor de ataque primário.
O ator da ameaça, rastreado como Autumn Dragon, direcionado várias nações ao redor do Mar da China Meridional, incluindo Indonésia, Singapura, Filipinas, Camboja e Laos, com um ritmo operacional crescente ao longo de 2025.
A campanha demonstra uma cadeia de ataque cuidadosamente orquestrada em quatro estágios que começa com e-mails de spearphishing entregando arquivos RAR transformados em armas.
O dropper inicial explora o CVE-2025-8088, uma vulnerabilidade de passagem de caminho crítico no WinRAR, para implantar automaticamente um script em lote disfarçado como “Windows Defender Atualização de definição.cmd.”
Esse mecanismo de persistência permite que o invasor execute estágios subsequentes após o login do usuário, estabelecendo uma base sem exigir interação explícita do usuário além da extração de arquivos.
Após o compromisso inicial, os atores da ameaça implantam um backdoor leve aproveitando o Telegram como canal de comando e controle.
Este segundo estágio consiste em um executável legítimo do navegador OBS emparelhado com um libcef.dll modificado, exemplificando a técnica de sideloading DLL preferida do grupo (MITRE T1574).
A DLL maliciosa se comunica com contas de agentes de ameaças por meio de API de bot do Telegramrecebendo três comandos principais: execução de comando shell, captura de tela e recursos de upload de arquivo.
Mecanismos avançados de persistência
Este design minimiza a exposição da funcionalidade ao mesmo tempo que permite decisões de reconhecimento e movimento lateral.
Os atacantes demonstram atividade operacional prática, com sequências de comando observadas revelando uma avaliação metódica das vítimas.
Os controladores de bot executaram consultas systeminfo para identificar especificações do sistema, comandos de lista de tarefas para descobrir produtos de segurança instalados e comandos do PowerShell para verificar o status de detecção de ameaças do Windows Defender.
O malicioso libcef.dll é escrito em C++ e usa Boost e a biblioteca tgbot3 para
comunicar-se com o ator da ameaça.
Esses dados de reconhecimento informam diretamente se os ataques prosseguem ou são abandonados, indicando alvos com recursos limitados e focados em objetivos de alto valor.
Os estágios de ataque subsequentes empregam sideload adicional de DLL, abusando de aplicativos legítimos da Adobe Creative Cloud, Opera GX, Microsoft bordae outros softwares convencionais.
Essas campanhas mostram padrões claros de reutilização de código e agrupamento de carimbos de data/hora de compilação ao longo de 2025, especialmente no terceiro e quarto trimestre, sugerindo uma única equipe de desenvolvimento por trás de múltiplas variantes.
O estágio backdoor final se comunica com servidores de comando e controle por HTTPS usando criptografia XOR, suportando recursos avançados, incluindo execução de shellcode, carregamento de DLL e operações de arquivo.
A análise da vitimologia revela um direcionamento concentrado de governos e organizações de comunicação social, com forte ênfase na especificidade geográfica.
A proteção da Cloudflare com restrições geográficas, requisitos personalizados de User-Agent e sites falsos demonstram consciência de segurança operacional e intenção de impedir análises de pesquisadores de segurança.
Os indicadores de campanha vinculados a nações específicas sugerem entrega de carga útil personalizada e trilhas operacionais separadas para diferentes alvos.
Indicadores de interesse incluem vários domínios de comando e controle que aproveitam frentes de serviço legítimas, diretórios temporários em pastas públicas usando convenções de nomenclatura aleatórias e cargas criptografadas empregando operações XOR simples em vez de criptografia complexa.
As organizações devem monitorar Sideload de DLL atividade que aproveita aplicativos legítimos, padrões incomuns de acesso ao armazenamento em nuvem e Dropbox incomuns e tráfego de rede para infraestrutura de comando e controle identificada.
Embora a atribuição directa continue a ser um desafio, as capacidades operacionais intermédias a avançadas, o foco geográfico persistente na periferia da China e as semelhanças tácticas com grupos conhecidos sugerem o envolvimento a nível estatal.
A campanha representa uma ameaça significativa e contínua ao governo do Sudeste Asiático e às instituições de comunicação social, exigindo sensibilização imediata e medidas defensivas.
Indicadores de compromisso
| Valor do indicador | Tipo | Contexto/Estágio |
|---|---|---|
| 5b64786ed92545eeac013be9456e1ff03d95073910742e4 | Hash | Conta-gotas inicial |
| 5ff6b88a86e91901b | Hash | Conta-gotas inicial |
| e409736eb77a6799d88c8208eb5e58ea0dcb2c016479153f9e2c4c3c372e3ff6 | Hash | Script em lote |
| 50855f0e3c7b28cbeac8ae54d9a8866ed5cb21b5335078a040920d5f9e386ddb | Hash | Conta-gotas do próximo estágio |
| a3805b24b66646c0cf7ca9abad502fe15b33b53e56a04489cfb64a238616a7bf | Hash | Implante de 2ª etapa |
| C:UsuáriosPúblicoDocumentosMicrosoftwinupdate_v | Pasta | Pasta de teste |
| 5d0d00f5d21f360b88d1622c5cafd42948eedf1119b4ce8026113ee394ad8848 | Hash | Carregador de 3º estágio |
| 843fca1cf30c74edd96e7320576db5a39ebf8d0a708bde8ccfb7c12e45a7938c | Hash | Carregador de 3º estágio |
| 2044a0831ce940fc247efb8ada3e60d61382429167fb3a220f277037a0dde438 | Hash | Carga útil criptografada de 4º estágio |
| c691f9de944900566b5930f219a55afcfc61eaf4ff40a4f476dd98a5be24b23c | Hash | Carga útil descriptografada de 4º estágio |
| hxxps[:]//public.megadatacloud[.]com | Domínio | Servidor C2 |
| hxxps[:]//104.234.37[.]45 | IP (URL) | Servidor C2 |
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.