O novo ScoringMathTea RAT do Lazarus APT Group aprimora a execução de comandos remotos e muito mais – Against Invaders

O novo ScoringMathTea RAT do Lazarus APT Group aprimora a execução de comandos remotos e muito mais - Against Invaders

O Lazarus APT Group, uma ameaça persistente avançada (APT) atribuída à Coreia do Norte, implantou um novo Trojan de acesso remoto (RAT) sofisticado chamado ScoringMathTea como parte de sua campanha contínua de ciberespionagem Operação DreamJob.

O ScoringMathTea representa uma evolução significativa no kit de ferramentas de malware do Lazarus, implementando uma arquitetura modular projetada especificamente para evitar a detecção em soluções de segurança de rede e de endpoint.

De acordo com pesquisa da equipe de pesquisa da ESET publicado em outubro de 2025, o ScoringMathTea foi identificado em duas cadeias de destruição distintas visando o setor de veículos aéreos não tripulados (UAV), especificamente destinados a roubar conhecimento tecnológico de empresas que fornecem tecnologia de drones para a Ucrânia.

O RAT opera como uma Dynamic Link Library (DLL) que inicializa imediatamente um thread após a execução, estabelecendo uma base sofisticada para suas comunicações de comando e controle (C&C) e recursos de gerenciamento de plug-ins.

O malware emprega múltiplas técnicas de ofuscação e anti-análise desde os primeiros estágios de execução.

Após a inicialização, ScoringMathTea implementa hash de API, um método pelo qual API do Windows as funções são localizadas e resolvidas dinamicamente em tempo de execução, em vez de serem armazenadas em tabelas de importação tradicionais.

Essa abordagem evita que pesquisadores de segurança e mecanismos antivírus identifiquem facilmente quais funções do sistema operacional o malware usa. Navegador de proximidade, que leva de DllMain à função principal deScoringMathTea.

A implementação se mostra extremamente completa, com a função de resolução de hash chamada aproximadamente 273 vezes em toda a base de código do malware, indicando o uso generalizado desse mecanismo de evasão.

Estratégia de criptografia e comunicação

A infraestrutura de comunicação C&C revela camadas sofisticadas projetadas para proteger cargas de comando contra detecção em nível de rede.

ScoringMathTea estabelece conexões HTTP/HTTPS enquanto implementa múltiplas fases de criptografia e codificação.

As comunicações são protegidas por codificação Base64, criptografia usando o algoritmo TEA/XTEA no modo CBC e compactação opcional, criando um canal multicamadas que obscurece a verdadeira natureza dos comandos transmitidos.

O malware falsifica strings legítimas do agente do usuário do navegador, identificando-se especificamente como Microsoft borda versão 107 no Windows 10 para combinar com o tráfego legítimo da web.

Além do endereço URL, também é possível observar a criação de slots para mais endereços C&C, que foram declarados como nulos, mas que acredito que poderiam ser adicionados durante a operação.

Ao se conectar ao seu servidor C&C, o ScoringMathTea retira as informações do cabeçalho HTTP das respostas, uma técnica que permite ao malware extrair cargas criptografadas de páginas da web aparentemente legítimas.

Essa abordagem fornece negação plausível ao analisar o tráfego de rede, já que a comunicação do sistema comprometido pode parecer superficialmente uma atividade normal de navegação na web.

Um recurso particularmente notável envolve o mecanismo de beacon, que usa cargas de solicitação pseudo-aleatórias para complicar a detecção baseada em assinatura.

O malware mantém um intervalo de pulsação de 60 segundos para se comunicar com sua infraestrutura C&C, estabelecendo um padrão de comunicação regular enquanto tenta minimizar o ruído da rede que pode acionar sistemas de detecção de anomalias.

Entre os recursos mais formidáveis ​​do ScoringMathTea está a implementação de injeção reflexiva de DLL, permitindo o download em tempo de execução e a execução na memória de plug-ins maliciosos adicionais sem gravar nada no disco.

Essa técnica se mostra particularmente eficaz contra soluções de segurança que dependem do monitoramento do sistema de arquivos ou da análise comportamental da criação de executáveis.

O mecanismo de carregamento do plugin implementa uma arquitetura de três camadas. Primeiro, o gerenciador de tarefas principal orquestra o processo de download.

Em segundo lugar, um orquestrador de carregamento de plug-ins prepara o ambiente utilizando PEB (Process Environment Block) Walking, uma técnica avançada para localizar dinamicamente DLLs do sistema sem depender de tabelas de importação.

Terceiro, um carregador de plug-in reflexivo implementa manualmente a funcionalidade do carregador do Windows de maneira personalizada, mapeando arquivos PE (Portable Executable) na memória, evitando ganchos de carregador tradicionais que o software de segurança pode monitorar.

O carregador também incorpora um algoritmo de soma de verificação CRC32 personalizado que verifica a integridade do plug-in e serve como um detector de ponto de interrupção de software para fins de antidepuração.

Diversas APIs repetidas, que se referem a APIs que são utilizadas múltiplas vezes, como LocalAlloc,LocalFree,GetLastError, entre outras.

Após o mapeamento bem-sucedido, o carregador identifica e executa uma função exportada chamada “exportfun” dentro do plugin carregado, fornecendo aos operadores uma interface padronizada para executar funcionalidades maliciosas arbitrárias inteiramente dentro da memória do sistema.

Sofisticação Técnica

A implantação do ScoringMathTea demonstra Lázaro investimento contínuo no desenvolvimento de infraestrutura de malware focada em evasão.

A segmentação de fabricantes de UAV e fornecedores de tecnologia que apoiam a Ucrânia indica um objetivo estratégico claro alinhado com os interesses geopolíticos.

O design modular do malware permite a rápida expansão da funcionalidade por meio da entrega de plug-ins, sugerindo que os operadores podem se adaptar a ambientes-alvo ou posturas de segurança específicas sem a necessidade de novas amostras de malware.

Pesquisadores de segurança documentaram que o ScoringMathTea emprega algoritmos personalizados de desofuscação de strings usando cifras de substituição polialfabéticas com encadeamento de estado de caractere, complicando ainda mais os esforços de engenharia reversa.

Combinado com hashing de API e técnicas de carregamento reflexivo, o malware apresenta um desafio formidável para análise estática, ao mesmo tempo que permanece capaz de operações sofisticadas em tempo de execução.

O ScoringMathTea exemplifica a sofisticação evolutiva do desenvolvimento de malware em estados-nação, combinando técnicas de evasão comprovadas com novas abordagens de implementação projetadas especificamente para complicar a detecção e a análise.

As organizações envolvidas nos setores aeroespacial, de defesa e de infraestrutura crítica devem implementar procedimentos abrangentes de caça a ameaças, sistemas de monitoramento comportamental e manter vigilância para o tráfego HTTP/HTTPS que exiba as características incomuns associadas a esta família de malware.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.