Pesquisadores de inteligência em segurança relataram nova atividade de infraestrutura associada ao APT‑C‑35 (conhecido também como DoNot). A investigação descreve padrões de resposta do servidor Apache e indicadores de rede que permitem rastrear clusters operacionais usados pelo grupo.
Descoberta e escopo
O trabalho de hunting combinou análise de cabeçalhos HTTP com identificação por Autonomous System Number (ASN), tendo o ASN 399629 como um dos focos principais. Segundo a publicação original, as consultas de busca retornaram aproximadamente 73 resultados que representaram 36 endereços IP únicos vinculados ao mesmo cluster de infraestrutura.
Indicadores técnicos e servidor exemplo
Entre os sinais técnicos destacados estão padrões recorrentes em respostas Apache, incluindo uma combinação específica de cabeçalhos que ajudou a reduzir o escopo das buscas. Um dos exemplos mencionados é o cabeçalho:
Expires: Thu, 19 Nov 1981 08:52:00 GMT
acompanhado por respostas com HTTP/1.1 200 OK. Outro elemento citado foi o uso de configurações de cache do tipo:
Cache-Control: no-store, no-cache, must-revalidate
O artigo identifica um servidor principal analisado, gilbertfix.info, hospedado no IP 149.248.76.43 em Wyoming. Esses elementos foram usados como assinaturas para correlacionar recursos e localizar outros ativos relacionados ao APT‑C‑35.
Autoridade e método
A identificação dos marcadores foi atribuída ao pesquisador Idan Tarab, do At‑Bay. A investigação descrita empregou consultas de hunting que cruzaram características de resposta HTTP com informações de roteamento e ASN para isolar infraestrutura suspeita. O uso de padrões inertes em cabeçalhos HTTP é aqui apresentado como um método prático para reduzir falsos positivos ao buscar servidores controlados por um ator persistente.
O que mudou agora
A novidade reportada não é uma exploração técnica de vulnerabilidade nova, mas o mapeamento de clusters adicionais e a definição de assinaturas operacionais que permitem detecção proativa. Ao identificar padrões estáveis em respostas Apache e agrupar endereços por ASN, pesquisadores afirmam poder acelerar correlações entre indicadores de rede e possíveis canais de comando e controle.
Evidências e limites
- Foram relatados ~73 resultados que correspondem a 36 IPs únicos dentro do escopo analisado.
- O relatório cita exemplos explícitos de cabeçalhos e um servidor identificado por nome e IP.
- Não há, na publicação analisada, lista pública exaustiva de vítimas ou evidência direta de incidentes impactando organizações específicas.
Em resumo: os artefatos técnicos apresentados fortalecem a capacidade de detecção, mas o relatório não fornece detalhes sobre vítimas comprometidas nem confirmações de ataques bem‑sucedidos relacionados a esses ativos.
Implicações para defesa
O conjunto de indicadores permite que equipes de segurança adicionem regras de detecção em monitoramento de borda e sistemas de coleta de cabeçalhos HTTP, bem como corroborem sinais com dados de roteamento (ASN). A técnica é aplicável para hunting em escala: procurar combinações específicas de cabeçalhos Expires e padrões de Cache‑Control pode reduzir o ruído em consultas públicas e internas.
Recomendações práticas citadas
- Correlacionar assinaturas de resposta HTTP com listas de IPs e ASNs suspeitos.
- Incluir análise de padrões de cabeçalhos em pipelines de threat hunting e IP reputation.
- Priorizar investigação de servidores que retornem as combinações de cabeçalhos identificadas e que residam em roteadores/ASNs associados.
Observações finais
A pesquisa reforça a importância do hunting contínuo de infraestrutura contra atores estatais voltados a espionagem. As informações publicadas descrevem marcadores operacionais úteis para detecção, mas faltam dados sobre impactos específicos a alvos (lista de vítimas, exfiltração comprovada, ou cronograma preciso de operações). Equipes interessadas devem consultar a publicação original e integrar as assinaturas com telemetria própria antes de agir.
Fonte: Cyber Security News (relato do pesquisador Idan Tarab / At‑Bay).