){kind=link}
Pesquisadores de segurança da Check Point Research divulgaram um relatório que detalha as operações do Silver Dragon, um grupo hacker de origem chinesa que vem atacando órgãos governamentais desde 2024.
O grupo usa o Google Drive como canal secreto de comunicação entre o malware instalado nas máquinas das vítimas e os operadores do ataque. Essa é uma estratégia que disfarça o tráfego malicioso dentro de um serviço amplamente confiável, raramente bloqueado por sistemas de segurança corporativos.
smart_display
Nossos vídeos em destaque
A Check Point avalia com alto grau de confiança que o Silver Dragon opera sob a influência do APT41, um dos grupos de espionagem cibernética mais conhecidos e associados ao governo chinês.
E-mails falsos e servidores vulneráveis como porta de entrada
O Silver Dragon usa dois vetores principais para comprometer as redes das vítimas. O primeiro é a exploração de servidores expostos à internet que possuam vulnerabilidades conhecidas. O segundo é o envio de e-mails de phishing com anexos maliciosos.
Nas campanhas de phishing documentadas, as vítimas recebiam e-mails com um arquivo de atalho do Windows (.LNK) em anexo. Ao abrir o arquivo, a vítima acionava involuntariamente uma sequência automatizada de comandos que extraía múltiplos arquivos escondidos dentro do próprio atalho, e os executava em segundo plano.
Um documento PDF era aberto simultaneamente como isca, enquanto os arquivos maliciosos eram instalados sem qualquer sinal visível para a vítima.
Malware se esconde em serviços legítimos do Windows
Independentemente do método de entrada, o objetivo imediato do grupo é garantir sua permanência no sistema comprometido.
Para isso, o Silver Dragon utiliza dois carregadores de malware desenvolvidos internamente: o BamboLoader e o MonikerLoader. Ambos têm a mesma função, que é descriptografar e executar um payload na memória do computador da vítima, mas usam técnicas distintas de ofuscação para dificultar a análise por pesquisadores.
Para garantir que o malware continue ativo mesmo após reinicializações, o grupo sequestra serviços legítimos do Windows, recriando-os para carregar o código malicioso automaticamente na inicialização. Entre os serviços abusados estão o de atualização do Windows e o de Bluetooth.
O payload final instalado em todos os casos é um beacon do Cobalt Strike, uma ferramenta originalmente desenvolvida para testes de segurança ofensiva, amplamente adotada por grupos criminosos por meio de versões pirateadas.
A comunicação com os servidores dos atacantes é feita predominantemente via DNS tunneling, uma técnica que esconde dados dentro de consultas de DNS, consideradas inofensivas pela maioria dos sistemas de segurança de rede.
Backdoor transforma o Drive em central de espionagem
A ferramenta mais relevante identificada no relatório é o GearDoor, um backdoor que usa o Google Drive como infraestrutura de comando e controle. Após infectar o sistema da vítima, o malware se autentica em uma conta de serviço do Google e cria uma pasta no Drive com um identificador único derivado do nome da máquina comprometida.
Toda a comunicação entre o malware e os operadores ocorre pelo upload e download de arquivos nesta pasta. O tipo de operação a ser executada é determinado pela extensão dos arquivos depositados – arquivos .cab entregam comandos; arquivos .rar entregam novos payloads; arquivos .7z ativam plugins executados diretamente na memória.
Todo o conteúdo é criptografado, de forma que mesmo que o tráfego seja interceptado, os dados permaneçam ilegíveis.
Entre os comandos suportados estão execução remota de comandos, listagem e manipulação de arquivos, exfiltração de dados para o Drive e imitação de processos do sistema para elevação de privilégios.
O relatório observa que o conjunto de comandos mostra sinais de desenvolvimento ativo, uma vez que algumas funções foram removidas e outras adicionadas entre versões analisadas, indicando que a ferramenta ainda está em evolução.
Monitoramento de tela e acesso remoto
O grupo também implanta duas ferramentas complementares nos sistemas comprometidos. A primeira é o SilverScreen, um malware que captura imagens da tela da vítima em intervalos regulares.
Para reduzir o consumo de disco e diminuir a chance de detecção, a ferramenta só salva capturas em resolução completa quando detecta mudança visual significativa em relação à imagem anterior.
A segunda é o SSHcmd, um utilitário que permite execução remota de comandos e transferência de arquivos via SSH, o protocolo padrão para acesso remoto seguro a servidores. Os comandos podem ser enviados codificados em Base64, o que pode ser usado para contornar sistemas básicos de monitoramento de logs.
Todos os caminhos levam à China
A atribuição do Silver Dragon a um ator de origem chinesa se baseia em múltiplos indicadores. O mais significativo é a similaridade estrutural entre o script de instalação do BamboLoader e um script previamente atribuído ao APT41, documentado pela empresa Mandiant em 2020.
A sequência de comandos usada para registrar uma DLL maliciosa como serviço do Windows é praticamente idêntica nos dois casos — um padrão que uma busca em repositórios públicos de malware não encontrou em nenhum outro grupo.
Os beacons do Cobalt Strike identificados nas operações compartilham o mesmo número de série de versões pirateadas historicamente associadas a grupos chineses.
Além disso, a análise de metadados de múltiplas amostras revelou que os timestamps de compilação dos arquivos estão consistentemente alinhados com o fuso horário UTC+8, correspondente ao Horário Padrão da China.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.