Um grupo de hackers chinês ligado ao estado conhecido como FamousSparrow infiltrou silenciosamente uma empresa de petróleo e gás do Azerbaijão, explorando um servidor Microsoft Exchange não corrigido para plantar múltiplas portas de trás dentro da rede. O ataque ocorreu de meados de dezembro de 2025 até meados de fevereiro de 2026 e se destaca como uma das intrusões de APT chinês mais detalhadas visando infraestrutura energética no Cáucaso Sul já documentadas.
Descoberta e escopo da campanha
O grupo de ameaça não parou em uma tentativa. Os atacantes retornaram ao mesmo servidor Exchange comprometido três vezes separadas, trocando famílias de malware entre visitas e ajustando suas táticas cada vez que os defensores tentavam removê-los. Essa persistência sinaliza uma campanha de espionagem deliberada e sustentada em vez de uma violação oportunista.
Pesquisadores da Bitdefender, que rastrearam a operação em todas as três ondas de atividade, atribuíram a intrusão ao FamousSparrow com confiança moderada a alta, notando sobreposição significativa com o cluster de ameaças Earth Estries. O timing não é coincidência. O Azerbaijão cresceu como um fornecedor crítico de gás para a Europa após o acordo de trânsito da Ucrânia da Rússia expirar em 2024 e interrupções no Estreito de Ormuz no início de 2026 reduzirem fontes de energia alternativas.
Vetor e exploração
A operação implantou duas famílias distintas de backdoor, Deed RAT e Terndoor, em estágios diferentes. Os atacantes também introduziram uma técnica evoluída de DLL sideloading projetada para derrotar a análise de segurança automatizada, um nível de sofisticação raramente visto em campanhas anteriores ligadas a essas famílias de malware.
Os primeiros sinais da intrusão datam de 25 de dezembro de 2025, quando o processo de trabalhador IIS do Microsoft Exchange tentou escrever uma web shell em um diretório publicamente acessível no servidor. Esta ação aproveitou a cadeia de exploração ProxyNotShell, duas vulnerabilidades rastreadas como CVE-2022-41040 e CVE-2022-41082 que permitem execução remota de código sem autenticação em servidores Exchange não corrigidos.
Nos dias seguintes, os atacantes derramaram web shells adicionais com nomes de arquivos como key.aspx, log.aspx, errorFE_.aspx e signout_.aspx. Estes forneceram uma posição confiável para emitir comandos e estacionar cargas úteis adicionais. Uma cadeia de malware de três componentes foi então implantada usando arquivos disfarçados como o aplicativo VPN legítimo LogMeIn Hamachi para reduzir a suspeita.
Impacto e alcance
O que diferencia esta campanha é a técnica evoluída de DLL sideloading usada para esconder o carregador Deed RAT. Ao contrário do sideloading típico que dispara código malicioso no momento em que uma DLL é carregada, esta versão dividiu sua lógica em duas funções de exportação chamadas Init e ComMain. A carga útil só é executada após o aplicativo host seguir uma sequência específica de chamadas internas, o que significa que uma sandbox examinando o arquivo isoladamente não vê nenhum comportamento malicioso.
Este design bloqueia a infecção atrás de um caminho de execução legítimo. Ferramentas de segurança que inspecionam apenas partes do código não encontram nada para sinalizar, e o comportamento completo do ataque só é visível quando o aplicativo é executado exatamente como esperado. Isso torna esta amostra significativamente mais difícil de detectar durante a triagem automatizada.
Medidas de mitigação recomendadas
As equipes de segurança devem aplicar todos os patches disponíveis do Exchange e rotacionar quaisquer credenciais expostas sem demora. O monitoramento deve cobrir gravações de web shell através do processo de trabalhador IIS, binários não assinados corrigindo funções de API do Windows na memória e tráfego HTTPS de saída para domínios que imitam fornecedores de segurança.
Sessões RDP inesperadas usando contas de administrador de domínio, seguidas rapidamente por atividade PowerShell e novos downloads de arquivos, devem ser tratadas como alertas de alta prioridade. Os indicadores de comprometimento (IoCs) incluem hashes MD5 específicos, nomes de arquivos maliciosos e domínios de comando e controle que imitam fornecedores de segurança.
O que os CISOs devem fazer imediatamente
1. Aplicar imediatamente todos os patches de segurança do Microsoft Exchange, especialmente relacionados à cadeia ProxyNotShell.
2. Monitorar logs do IIS para gravações de web shells em diretórios publicamente acessíveis.
3. Revisar processos de autenticação e credenciais de administrador de domínio.
4. Implementar detecção de DLL sideloading em estações de trabalho e servidores críticos.
5. Bloquear domínios de C2 identificados, incluindo aqueles que imitam fornecedores de segurança como SentinelOne.