< Back
Mysterious elephant

Tags:

Threat intelligence
22 Outubro 2025

Resumo semanal dos ciberataques de 16 a 22 de outubro

PassiveNeuron: uma sofisticada campanha direcionada aos servidores de organizações de alto perfil

Foram descobertos novos dados sobre a campanha de ciberespionagem PassiveNeuron, uma sofisticada operação em curso dirigida aos servidores de organizações de alto perfil na Ásia, África e América Latina. Após uma pausa de seis meses, em dezembro de 2024 começou uma nova onda de infeções que se prolongou até agosto de 2025, ampliando o seu alcance para incluir entidades governamentais, financeiras e industriais. A campanha utilizou uma arquitetura de loader DLL de múltiplas etapas com roubo Phantom DLL para garantir a persistência. O foco da campanha em servidores expostos à Internet e do seu design avançado em várias etapas destacam uma importante ameaça de espionagem.

Novo malware atribuído ao grupo COLDRIVER

Investigadores do Grupo de Threat Intelligence da Google (GTIG) atribuíram um novo conjunto de malware ao grupo COLDRIVER, patrocinado pelo Estado russo (também conhecido como UNC4057, Star Blizzard e Callisto). Após a exposição pública do seu malware anterior, LOSTKEYS, em maio de 2025, o agente malicioso reestruturou as suas operações em apenas cinco dias, revelando uma cadeia de infeção completamente nova centrada em várias famílias de malware relacionadas: NOROBOT, YESROBOT e MAYBEROBOT. As campanhas marcam uma forte escalada na sofisticação técnica e no ritmo de desenvolvimento do COLDRIVER. O grupo passou do tradicional phishing de credenciais para a recolha de informações baseada em malware.

Acompanhamento do malware e expansão dos ataques: a viagem de um grupo de hackers pela Ásia

Foi identificada uma série coordenada de campanhas de phishing e malware que se estão a espalhar pela Ásia, revelando a evolução contínua das operações de um grupo de hackers da China para Taiwan, Japão e, mais recentemente, Malásia. As campanhas, que começaram a aparecer no início de 2024 e se intensificaram ao longo de 2025, têm como alvo os utilizadores através de e-mails fraudulentos que distribuem anexos maliciosos em formato PDF, Word e HTML disfarçados de comunicações oficiais de organismos governamentais, como ministérios das finanças e autoridades fiscais. Esses iscos acabam por distribuir variantes das famílias de malware HoldingHands e Winos 4.0, que permitem o acesso remoto e o roubo de informações.

Operação Silk Lure: tarefas agendadas transformadas em armas para o carregamento lateral de DLL

Foi descoberta uma operação de ciberespionagem em curso denominada Operação Silk Lure, que aproveita as tarefas agendadas e o carregamento lateral de DLL para implementar o malware ValleyRAT. A campanha tem como alvo pessoas e empresas chinesas (em particular, as do setor de tecnologia financeira, câmbio de criptomoedas e plataformas de negociação) através de emails de spear phishing altamente específicos que se fazem passar por candidatos a emprego. Esses e-mails contêm arquivos maliciosos de acesso direto do Windows (.LNK) camuflados como currículos ou portfólios. A operação demonstra que se trata de um agente malicioso organizado e com capacidade técnica que realiza campanhas de espionagem seletiva ou roubo de credenciais contra organizações chinesas em setores sensíveis, como o financeiro e o de cadeias de blocos.

Mysterious Elephant: uma ameaça crescente

Investigadores de cibersegurança documentaram a evolução contínua do Mysterious Elephant, um grupo de ameaças persistentes avançadas (APT) identificado pela primeira vez em 2023. Este grupo está agora a realizar uma nova campanha no sul da Ásia. O grupo foi observado a utilizar técnicas cada vez mais sofisticadas, incluindo novas ferramentas de malware personalizadas e de código aberto. Embora inicialmente se assemelhasse às operações atribuídas ao Confucius e ao Origami Elephant, o Mysterious Elephant tem-se distinguido desde então por incorporar e desenvolver código herdado de vários ecossistemas APT. Isto sugere uma colaboração ativa ou uma troca de código entre atores regionais que representam uma ameaça, como o Confucius, o Origami Elephant e o SideWinder.