Em novembro de 2025, pesquisadores de segurança da Raven AI identificaram uma sofisticada campanha de phishing de dia zero que se fazia passar pelo Departamento de Imposto de Renda da Índia, visando empresas em todo o país com uma cadeia de malware em vários estágios.
O ataque combinou comunicações governamentais de aparência autêntica com técnicas avançadas de evasão, fornecendo um carregador RAT baseado em shellcode e um executável malicioso disfarçado como um atualizador GoTo Resolve.
O sucesso da campanha reside na sua capacidade de explorar a confiança na autoridade governamental e, ao mesmo tempo, contornar as defesas tradicionais de segurança de e-mail que normalmente dependem da detecção baseada em assinaturas.
Os e-mails de phishing foram meticulosamente elaborados para refletir avisos genuínos de conformidade fiscal, apresentando conteúdo bilíngue em hindi e inglês, referências legais a seções específicas da Lei do Imposto de Renda de 1961 e prazos urgentes de 72 horas que criaram pressão psicológica sobre os destinatários.
Essas mensagens originaram-se de contas de e-mail legítimas do QQ.com que passaram nas verificações de autenticação SPF, DKIM e DMARC, um detalhe crítico que lhes permitiu escapar da filtragem de reputação do remetente.
Os atacantes alavancado vários mecanismos de entrega, incluindo anexos PDF protegidos por senha e documentos hospedados no Google Docs, impossibilitando que os mecanismos antivírus tradicionais verifiquem as cargas antes da execução.
E-mails maliciosos entregam AsyncRAT
A primeira variante de phishing apresentou-se como um Aviso de Deficiência e Penalidade de Conformidade Fiscal, orientando os destinatários a baixar um arquivo ZIP protegido por senha ou acessar um Documentos Google link.
Uma vez extraído, o arquivo revelou um carregador de shellcode de 10,48 MB classificado como Trojan.Shellcode e Fragtor.
Essa carga útil de vários estágios foi projetada para ser executada por meio do carregamento de proxy regsvr32, uma técnica de execução sem arquivo que evita a detecção de assinatura estática, aproveitando utilitários confiáveis do Windows.
Os indicadores de rede vinculados a esta etapa revelaram conexões com AsyncRAT e infraestrutura de comando e controle ResolverRAT, com impressões digitais SSL JA3 correspondentes a famílias conhecidas de ferramentas de administração remota.
A segunda variante de ataque implantou um executável de 23,34 MB chamado GoToResolveUnattendedUpdater.exe, um backdoor de acesso remoto nocivo classificado como Hacktool.LogMeIn.
Este malware se disfarçou como uma atualização legítima do GoToResolve, uma autêntica plataforma de gerenciamento remoto, e carregou uma DLL suspeita chamada RstrtMgr.dll.
Esta biblioteca específica é conhecida por ser usada por famílias proeminentes de ransomware, incluindo Conti e Cactus, para encerrar processos de segurança e estabelecer persistência.
O executável exibia recursos completos de administração remota, incluindo compartilhamento de tela, transferência de arquivos e execução remota de comandos, sugerindo que os invasores planejaram movimentos laterais interativos após o comprometimento inicial.
Sinalizar ameaças crescentes baseadas em RAT
Os Secure Email Gateways tradicionais não conseguiram detectar esta campanha porque a infraestrutura de autenticação passou na validação enquanto os anexos protegidos por senha impediam a verificação de conteúdo.
A natureza bilíngue dos avisos, combinada com referências legais legítimas e formatação de estilo governamental, criou um fator de credibilidade que os filtros de conteúdo legados não conseguiam avaliar.
Os invasores escaparam ainda mais da detecção incorporando Gerado por IA Texto de preenchimento Unicode e padrões de espaçamento aleatório consistentes com a geração automatizada de kits de phishing, projetados especificamente para contornar algoritmos de filtragem Bayesiana.
As empresas indianas enfrentaram uma vulnerabilidade particular a esta campanha por vários motivos. A comunicação fiscal ocorre frequentemente através de canais digitais, os prazos de cumprimento geram uma urgência que obscurece o julgamento e muitas pequenas e médias empresas dependem exclusivamente da filtragem básica de e-mail.
Além disso, a representação governamental carrega um valor de confiança inerente, especialmente entre empresas de serviços financeiros, NBFCs e empresas de valores mobiliários que trocam rotineiramente documentos com os reguladores.
O sucesso da detecção da Raven AI resultou de uma abordagem fundamentalmente diferente dos gateways tradicionais.
Em vez de depender de assinaturas de ameaças ou protocolos de autenticação conhecidos, a plataforma analisou intenções de comunicação, sinais comportamentais e inconsistências de metadados.
Os principais sinais de detecção incluíram a incompatibilidade de identidade de um aviso fiscal do governo originado de uma caixa de correio gratuita estrangeira, o padrão comportamental de falsa urgência combinado com demandas de envio de documentos e anomalias na forma como as cargas hospedadas na nuvem estavam sendo entregues fora dos fluxos de trabalho normais do governo.
Esta campanha destaca uma evolução crítica nas táticas de phishing direcionadas às empresas indianas. Os invasores estão cada vez mais sofisticados na combinação de modelos autênticos de comunicação governamental com cadeias avançadas de malware e ferramentas legítimas de administração remota mal utilizadas.
À medida que os mecanismos de autenticação continuam a ser explorados pelos agentes de ameaças, as organizações devem adotar estratégias de detecção que avaliem o contexto de comunicação e a intenção comportamental, em vez de depender exclusivamente de assinaturas baseadas em perímetro.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.