Redazione RHC:3 Dezembro de 2025 07:24
O Patchwork Grupo de Espionagem Cibernética — também conhecido como Ressaca ou Elefante Largador e rastreado internamente pelo QiAnXin como APT-Q-36 — está ativo desde 2009 e acredita-se que esteja próximo ao Sul da Ásia.
Ao longo dos anos, ele tem como alvo órgãos governamentais, militares, instituições de pesquisa, diplomacia, indústria e instituições educacionais em vários países asiáticos, conduzindo operações de coleta de inteligência em larga escala.
O Inteligência de Ameaças QiAnXin O centro identificou um novo Trojan atribuído ao Organização Maha Grass, que utiliza uma combinação de protocolos WebSocket e HTTP para se comunicar com servidores de comando e controle. O MalwareApelidado StreamSpy , recupera instruções via um Conexão WebSocket cuja interface contém a palavra “stream”, enquanto usa HTTP principalmente para transferências de arquivos. Alguns de seus componentes técnicos lembram o Downloader do Spyder, já ligado à mesma organização.
| MD5 | nome do arquivo | ilustrar |
|---|---|---|
| 1c335BE51FC637B50D41533F3BEF2251 | OPS-VII-SIR.zip | Um arquivo zip contendo o Trojan StreamSpy. |
| F78FD7E4D92743EF6026DE98291E8DEE | Annexure.exe | Trojan StreamSpy, versão 1.0.0.1 |
| e0ac399cff3069104623cc38395BD946 | Lista de oficiais indicados para o awards.zip 2025-2026 | Um arquivo zip contendo o Trojan StreamSpy. |
| c3c277cca23f3753721435da80cad1ea | Lista de oficiais indicados para os prêmios 2025-2026. | Trojan StreamSpy, versão 1.0.0.2 |
| e4a7a85feff6364772cf1d12d8153a69 | – | Trojan StreamSpy, versão 1.0.0.2 |
Entre os exemplos analisados estão arquivos comprimidos contendo arquivos executáveis disfarçados de documentos PDF, como “OPS-VII-SIR.zip” , que vem do domínio firebasescloudemail[.]com. Ele contém a versão 1.0.0.1 do StreamSpy, que ao iniciar extrai um arquivo de configuração criptografado em formato JSON de sua área de recursos. Este arquivo de configuração inclui servidores C2, parâmetros de rede e opções de persistência. O servidor C2 detectado nesta variante é ” www.mydropboxbackup[.]com:443″ .
Uma vez ativa, o Malware Coleta uma grande quantidade de informações sobre o sistema infectado: nome do host, usuário, versão do sistema operacional, antivírus e vários identificadores de hardware obtidos via WMI, como UUID e número de série da placa-mãe. Esses dados são combinados com as informações de identidade na configuração e enviados para a “/[prefix]/auth” no servidor de controle.
A persistência só é alcançada se ativada na configuração ou se o Trojan detectar que não está localizado no caminho esperado. Existem três métodos possíveis: criar tarefas agendadas, modificar a chave do registro RunOnce ou gerar arquivos LNK na pasta de inicialização. Uma vez estabelecida a conexão com o C2, o Malware envia batimentos cardíacos periódicos para o “/[prefix]/status” e abre um canal WebSocket para “/[prefix]/stream”, através do qual recebe comandos e envia a saída das operações executadas.
O StreamSpy suporta diversas instruções, incluindo execução de comandos de shell, download e abertura de arquivos, alteração do shell padrão (cmd ou PowerShell), fechamento de sessões ativas, extração de arquivos criptografados baixados do C2 e várias operações de arquivos e diretórios. Carregar e baixar funções usando o “/ sincronizar ” e “/ buscar ” também estão presentes. Versão 1.0.0.2, vinculada ao ” www.virtualworldsapinner[.]com” Domínios, introduz apenas um caminho adicional de URL (” cache “), sem outras mudanças substanciais.
A análise também revelou conexões com outros malwares já associados à Maha Grass, incluindo variantes de Spyder . Alguns samples assinados digitalmente por “Fidus Software Consulting Inc.”, Baixado de domínios como o Adobe FileShare[.]COM, utilizam os mesmos métodos de criptografia de configuração e compartilham estruturas operacionais semelhantes, incluindo coleta de informações e funções de entrega de cargas zip criptografadas. Funcionalidades semelhantes também foram detectadas em uma amostra adicional ligada à gangue Donot e campanhas anteriores do grupo Gastrobrain.
| MD5 | nome do arquivo | Informações sobre assinatura digital |
|---|---|---|
| 0fe90212062957a529cba3938613c4da | VPN.exe | “Fidus Software Consulting Inc.” |
| df626ce2ad3d3dea415984a9d3839373 | JuD NOVO MARKAZ DETAILS.exe | “Fidus Software Consulting Inc.” |
Observações do Centro QiAnXin indicam uma evolução contínua do arsenal do grupo Maha Grass. A adoção de WebSockets já que o canal principal para troca de comandos parece ter como objetivo reduzir a possibilidade de interceptação em comparação apenas com o tráfego HTTP. A análise das assinaturas digitais e dos servidores utilizados também sugere um certo nível de compartilhamento de infraestrutura e ferramentas com outros grupos da região, como DuNaoChong .
O relatório conclui Lembrando a importância das medidas preventivas essenciais: Tenha cuidado com links e anexos provenientes de fontes não verificadas, evite instalar softwares obtidos de canais não oficiais, realize backups regulares e instale patches e atualizações para reduzir a superfície de ataque explorável por ameaças desse tipo.
- #cybersecurity
- Grupo APT
- APT-Q-36
- Ataques cibernéticos
- Cyber Spionaggio
- http
- Maha Grass
- Ataques de Maha Grass
- Malware
- Patchwork
- StreamSpy
- Malware StreamSpy
- Inteligência de ameaças
- Websocket
Redazione
A equipe editorial do Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias iniciais sobre cibersegurança e computação em geral.