Cibercriminosos chineses usam o Google Drive para espionar governos

Pesquisadores de segurança da Check Point Research divulgaram um relatório que detalha as operações do Silver Dragon, um grupo hacker de origem chinesa que vem atacando órgãos governamentais desde 2024.

O grupo usa o Google Drive como canal secreto de comunicação entre o malware instalado nas máquinas das vítimas e os operadores do ataque. Essa é uma estratégia que disfarça o tráfego malicioso dentro de um serviço amplamente confiável, raramente bloqueado por sistemas de segurança corporativos.

A Check Point avalia com alto grau de confiança que o Silver Dragon opera sob a influência do APT41, um dos grupos de espionagem cibernética mais conhecidos e associados ao governo chinês.

E-mails falsos e servidores vulneráveis como porta de entrada

O Silver Dragon usa dois vetores principais para comprometer as redes das vítimas. O primeiro é a exploração de servidores expostos à internet que possuam vulnerabilidades conhecidas. O segundo é o envio de e-mails de phishing com anexos maliciosos.

Nas campanhas de phishing documentadas, as vítimas recebiam e-mails com um arquivo de atalho do Windows (.LNK) em anexo. Ao abrir o arquivo, a vítima acionava involuntariamente uma sequência automatizada de comandos que extraía múltiplos arquivos escondidos dentro do próprio atalho, e os executava em segundo plano.

Um documento PDF era aberto simultaneamente como isca, enquanto os arquivos maliciosos eram instalados sem qualquer sinal visível para a vítima.

Malware se esconde em serviços legítimos do Windows

Independentemente do método de entrada, o objetivo imediato do grupo é garantir sua permanência no sistema comprometido.

Para isso, o Silver Dragon utiliza dois carregadores de malware desenvolvidos internamente: o BamboLoader e o MonikerLoader. Ambos têm a mesma função, que é descriptografar e executar um payload na memória do computador da vítima, mas usam técnicas distintas de ofuscação para dificultar a análise por pesquisadores.

Para garantir que o malware continue ativo mesmo após reinicializações, o grupo sequestra serviços legítimos do Windows, recriando-os para carregar o código malicioso automaticamente na inicialização. Entre os serviços abusados estão o de atualização do Windows e o de Bluetooth.

O payload final instalado em todos os casos é um beacon do Cobalt Strike, uma ferramenta originalmente desenvolvida para testes de segurança ofensiva, amplamente adotada por grupos criminosos por meio de versões pirateadas.

A comunicação com os servidores dos atacantes é feita predominantemente via DNS tunneling, uma técnica que esconde dados dentro de consultas de DNS, consideradas inofensivas pela maioria dos sistemas de segurança de rede.

Backdoor transforma o Drive em central de espionagem

A ferramenta mais relevante identificada no relatório é o GearDoor, um backdoor que usa o Google Drive como infraestrutura de comando e controle. Após infectar o sistema da vítima, o malware se autentica em uma conta de serviço do Google e cria uma pasta no Drive com um identificador único derivado do nome da máquina comprometida.

Toda a comunicação entre o malware e os operadores ocorre pelo upload e download de arquivos nesta pasta. O tipo de operação a ser executada é determinado pela extensão dos arquivos depositados – arquivos .cab entregam comandos; arquivos .rar entregam novos payloads; arquivos .7z ativam plugins executados diretamente na memória.

Todo o conteúdo é criptografado, de forma que mesmo que o tráfego seja interceptado, os dados permaneçam ilegíveis.

Entre os comandos suportados estão execução remota de comandos, listagem e manipulação de arquivos, exfiltração de dados para o Drive e imitação de processos do sistema para elevação de privilégios.

O relatório observa que o conjunto de comandos mostra sinais de desenvolvimento ativo, uma vez que algumas funções foram removidas e outras adicionadas entre versões analisadas, indicando que a ferramenta ainda está em evolução.

Monitoramento de tela e acesso remoto

O grupo também implanta duas ferramentas complementares nos sistemas comprometidos. A primeira é o SilverScreen, um malware que captura imagens da tela da vítima em intervalos regulares.

Para reduzir o consumo de disco e diminuir a chance de detecção, a ferramenta só salva capturas em resolução completa quando detecta mudança visual significativa em relação à imagem anterior.

A segunda é o SSHcmd, um utilitário que permite execução remota de comandos e transferência de arquivos via SSH, o protocolo padrão para acesso remoto seguro a servidores. Os comandos podem ser enviados codificados em Base64, o que pode ser usado para contornar sistemas básicos de monitoramento de logs.

Todos os caminhos levam à China

A atribuição do Silver Dragon a um ator de origem chinesa se baseia em múltiplos indicadores. O mais significativo é a similaridade estrutural entre o script de instalação do BamboLoader e um script previamente atribuído ao APT41, documentado pela empresa Mandiant em 2020. 

A sequência de comandos usada para registrar uma DLL maliciosa como serviço do Windows é praticamente idêntica nos dois casos — um padrão que uma busca em repositórios públicos de malware não encontrou em nenhum outro grupo.

Os beacons do Cobalt Strike identificados nas operações compartilham o mesmo número de série de versões pirateadas historicamente associadas a grupos chineses.

Além disso, a análise de metadados de múltiplas amostras revelou que os timestamps de compilação dos arquivos estão consistentemente alinhados com o fuso horário UTC+8, correspondente ao Horário Padrão da China.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.