Código HTML do Conteúdo
Post: Confúcio muda de ladrões de documentos para backdoors Python
<div>
<div>
<div>
<div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-2b9cd00f-0b50-40b0-b1c4-94e655d5fdd4">
<p>Um grupo de espionagem cibernética de longa data conhecido como <a href="https://www.infosecurity-magazine.com/news/apt-mysterious-elephant-q2-2023/" target="_blank">Confúcio</a> introduziu novas técnicas em suas campanhas contra usuários do Microsoft Windows.</p>
<p>Identificado pela primeira vez em 2013, o grupo tem visado consistentemente agências governamentais, empreiteiros de defesa e indústrias críticas em todo o sul da Ásia, particularmente no Paquistão.</p>
<h2>De ladrões a ataques Python</h2>
<p>De acordo com descobertas recentes do FortiGuard Labs, o que há de novo é a mudança do Confucius de ladrões focados em documentos, como o WooperStealer, para backdoors baseados em Python mais avançados, como o AnonDoor.</p>
<p>“Este último relatório do FortiGuard Labs destaca que os agentes de ameaças estão constantemente adaptando suas técnicas para ficar à frente da comunidade de pesquisa de segurança, que desenvolve novas técnicas para detectá-los”, disse John Bambenek, presidente da Bambenek Consulting.</p>
<p>“Em particular, o uso de ferramentas Python explora a dificuldade persistente em detectar atividades maliciosas em linguagens de script, onde você tem uma infinidade de técnicas de ofuscação. O Python é usado rotineiramente em todos os lugares, o que significa que os invasores são livres para aproveitar seu poder sem precisar instalar novas ferramentas ou binários também.”</p>
<p>Os pesquisadores do FortiGuard observaram várias cadeias de ataque entre dezembro de 2024 e agosto de 2025.</p>
<p>As primeiras operações dependiam de spear-phishing com documentos maliciosos do Office e arquivos LNK para entregar o WooperStealer, uma ferramenta que exfiltrava uma ampla variedade de arquivos confidenciais, incluindo documentos, planilhas, imagens e e-mails.</p>
<p>Em meados de 2025, no entanto, Confúcio adotou uma nova abordagem. Em vez de depender apenas do roubo de dados, o grupo começou a implantar o backdoor AnonDoorPython que fornece recursos de persistência e execução de comandos de longo prazo. O AnonDoor permite ações como capturar capturas de tela, listar arquivos, baixar dados e despejar senhas do navegador.</p>
<p><a href="https://www.infosecurity-magazine.com/news/interpol-operation-secure/" target="_blank"><em>Leia mais sobre espionagem cibernética no sul da Ásia: 20.000 IPs e domínios asiáticos desmantelados na repressão ao infostealer</em></a></p>
<h2>Técnicas de evasão e persistência</h2>
<p>O FortiGuard Labs detalhou como o grupo colocou vários métodos em camadas para obter persistência e evitar a detecção.</p>
<p>Estes incluíram:</p>
<ul>
<li>
<p>Sideload de DLL por meio de executáveis legítimos</p>
</li>
<li>
<p>Scripts do PowerShell ofuscados para instalar ambientes de execução</p>
</li>
<li>
<p>Tarefas agendadas para executar repetidamente cargas ocultas</p>
</li>
<li>
<p>Rotinas de exfiltração furtivas para minimizar o ruído da rede</p>
</li>
</ul>
<p>Esses métodos permitiram que o grupo mantivesse a flexibilidade operacional e evitasse ferramentas de segurança que dependessem da detecção baseada em assinatura.</p>
<h2>Expandindo recursos</h2>
<p>Ao contrário das campanhas anteriores que se concentravam estritamente no roubo de documentos, o AnonDoor é capaz de criar perfis completos de host. Ele coleta detalhes do sistema, geolocaliza IPs públicos e inventaria volumes de disco antes de receber tarefas de seus servidores de comando e controle (C2).</p>
<p>Os pesquisadores descobriram que suas operações foram adaptadas para alvos no Paquistão, sugerindo objetivos com foco regional.</p>
<p>“Esta campanha ressalta a agilidade técnica de Confúcio”, escreveu o FortiGuard, observando que o grupo pode alternar rapidamente entre diferentes famílias de malware e métodos de entrega para sustentar o acesso.</p>
<p>O relatório conclui que a cadeia de ataque em camadas de Confúcio demonstra uma clara evolução em direção a operações de espionagem mais duráveis e furtivas.</p>
<p>Analistas alertam que a vigilância contra tais táticas continua sendo crucial, pois os grupos ligados ao Estado continuam a refinar seus métodos.</p>
</div>
</div>
</div></div>