Título: Patchwork lança campanha de spear-phishing contra a defesa turca
Data: 2025-09-21 18:53:59
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/patchwork-lanca-campanha-de-spear-phishing-contra-a-defesa-turca/1179/

Redazione RHC:21 Setembro 2025 20:53
O Patchwork grupo, tamb&eacute;m conhecido pelos pseud&ocirc;nimos APT-C-09, APT-Q-36, Chinastrats, Elefante Dropado, Opera&ccedil;&atilde;o Ressaca, Tigre Acolchoado e Zinco Emerson , lan&ccedil;ou um novo spear-phishing visando o setor de defesa turco. O objetivo principal dos invasores, de acordo com analistas, era para obter informa&ccedil;&otilde;es confidenciais sobre desenvolvimentos em plataformas n&atilde;o tripuladas e armas hipers&ocirc;nicas.
De acordo com Laborat&oacute;rios de lobos do &Aacute;rtico , a cadeia de ataque consiste em cinco etapas e come&ccedil;a com a distribui&ccedil;&atilde;o de arquivos LNK (atalho do Windows) disfar&ccedil;ados de convites para uma confer&ecirc;ncia internacional sobre ve&iacute;culos n&atilde;o tripulados. Esses e-mails foram dirigido a funcion&aacute;rios de empresas que operam no complexo militar-industrial turco , incluindo um fabricante de m&iacute;sseis de alta precis&atilde;o .
O contexto geopol&iacute;tico torna o ataque particularmente significativo: o seu lan&ccedil;amento coincidiu com o aprofundamento da coopera&ccedil;&atilde;o t&eacute;cnico-militar entre os Estados-Membros. Turquia e Paquist&atilde;o , bem como a escalada do conflito entre o Paquist&atilde;o e a &Iacute;ndia. De acordo com v&aacute;rios analistas, A Patchwork est&aacute; agindo no interesse do Estado indiano e tem atacado sistematicamente alvos pol&iacute;ticos e militares em pa&iacute;ses do sul da &Aacute;sia desde 2009.
No in&iacute;cio de 2025, o mesmo grupo lan&ccedil;ou uma campanha contra universidades chinesas usando documentos relacionados &agrave; energia como isca . Ele usou um Ferrugem- baseado downloader que descriptografou e executou um Trojan C# conhecido como Protego , projetado para coletar dados de computadores infectados.
O &uacute;ltimo ataque &agrave;s organiza&ccedil;&otilde;es de defesa turcas mais uma vez usa LNK Incorpora&ccedil;&atilde;o de arquivos PowerShell Comandos. Os scripts iniciam uma conex&atilde;o com um servidor remoto, expouav[.]org&mdash;o dom&iacute;nio foi registrado em 25 de junho de 2025 e &eacute; usado como um ponto de distribui&ccedil;&atilde;o de carga. Al&eacute;m do c&oacute;digo malicioso , o site cont&eacute;m um documento PDF que imita uma confer&ecirc;ncia internacional, referindo-se ostensivamente a um evento real realizado na plataforma WASET. Isso permite que o usu&aacute;rio se distraia com um &rdquo; capa &rdquo; enquanto os scripts s&atilde;o executados em segundo plano.
Outras a&ccedil;&otilde;es levam ao carregamento de uma biblioteca DLL, iniciada por meio do m&eacute;todo de sideload de DLL, ou seja, substituindo um componente leg&iacute;timo em um processo confi&aacute;vel. Sua execu&ccedil;&atilde;o &eacute; iniciada por uma tarefa agendada no Agendador de Tarefas do Windows  , que inicia o c&oacute;digo shell incorporado. Este m&oacute;dulo realiza reconhecimento ambiental: ele coleta informa&ccedil;&otilde;es do sistema, faz capturas de tela e envia dados para o servidor C2.
Uma caracter&iacute;stica distintiva das novas opera&ccedil;&otilde;es &eacute; a utiliza&ccedil;&atilde;o de Arquivos PE de 32 bits em vez das DLLs de 64 bits usadas anteriormente . Isso indica uma evolu&ccedil;&atilde;o da base t&eacute;cnica e uma tentativa de aumentar o n&iacute;vel de ofusca&ccedil;&atilde;o: bin&aacute;rios x86 compactos s&atilde;o mais f&aacute;ceis de injetar em processos confi&aacute;veis e a mudan&ccedil;a arquitet&ocirc;nica complica a detec&ccedil;&atilde;o autom&aacute;tica de amea&ccedil;as.
Os pesquisadores tamb&eacute;m encontraram evid&ecirc;ncias de sobreposi&ccedil;&atilde;o entre a infraestrutura do Patchwork e elementos anteriormente associados ao Grupo de equipe DoNot (APT-Q-38, Bellyworm ), o que pode indicar coopera&ccedil;&atilde;o t&aacute;tica ou log&iacute;stica entre os dois grupos de APT indianos.
A campanha contra a ind&uacute;stria de defesa turca marca uma expans&atilde;o do foco da Patchwork, anteriormente focada no sul da &Aacute;sia. Tendo em conta o papel fundamental da Turquia no mercado dos drones ( O pa&iacute;s responde por aproximadamente 65% das exporta&ccedil;&otilde;es globais ) e a sua ambi&ccedil;&atilde;o de desenvolver armas hipers&oacute;nicas, as atividades do grupo indiano de ciberespionagem parecem estrategicamente motivadas.


Reda&ccedil;&atilde;oA equipe editorial da Red Hot Cyber &eacute; composta por um grupo de indiv&iacute;duos e fontes an&ocirc;nimas que colaboram ativamente para fornecer informa&ccedil;&otilde;es e not&iacute;cias antecipadas sobre seguran&ccedil;a cibern&eacute;tica e computa&ccedil;&atilde;o em geral.
Lista degli articoli