Um grupo de ameaça persistente avançada (APT) ligado à China, identificado como UAT-9244, está conduzindo uma campanha sofisticada contra provedores de telecomunicações na América do Sul desde 2024. A operação emprega três novas ferramentas de malware projetadas para obter acesso profundo e persistente à infraestrutura crítica de rede, conforme revelado por pesquisadores da Cisco Talos.
O arsenal e o alvo
O arsenal do UAT-9244 é composto por três implantes maliciosos, cada um com uma função específica:
- TernDoor: Um backdoor para Windows, variante do malware CrowDoor previamente documentado.
- PeerTime: Um backdoor para Linux que utiliza o protocolo BitTorrent para comunicação e execução de comandos, uma técnica que permite que o tráfego malicioso se misture com a atividade peer-to-peer legítima da rede.
- BruteEntry: Uma ferramenta que transforma dispositivos de borda comprometidos em "Operational Relay Boxes" (ORBs), usadas para realizar ataques de força bruta contra servidores SSH, PostgreSQL e Apache Tomcat, expandindo continuamente a presença dos atacantes.
O grupo opera contra endpoints Windows e Linux, além de dispositivos de borda de rede, hardware embarcado fundamental para o roteamento e gerenciamento das comunicações das operadoras.
Vínculos e motivação
Os analistas da Talos avaliam com alta confiança que o UAT-9244 tem sobreposição significativa com os grupos APT conhecidos FamousSparrow e Tropic Trooper, ambos também associados à China. A conclusão é baseada em ferramentas compartilhadas, táticas sobrepostas e perfis de vítimas similares. A linhagem do TernDoor remonta ao SparrowDoor, backdoor historicamente atribuído ao FamousSparrow. Além disso, o binário instrumentador do PeerTime contém strings de debug escritas em chinês simplificado, um forte indicador linguístico da origem dos operadores.
O escopo da operação é substancial. Os pesquisadores identificaram um certificado SSL compartilhado vinculado a 18 endereços IP provavelmente usados pela infraestrutura de comando e controle (C2) do grupo, indicando uma rede ampla e bem financiada. Embora outro grupo, o Salt Typhoon, também tenha como alvo o setor de telecomunicações, a Talos não confirmou uma conexão direta entre eles. O padrão de múltiplos atores alinhados à China focando em infraestrutura de telecomunicações destaca o valor estratégico dessas redes para a coleta de inteligência patrocinada por Estados.
Mecanismo de infecção e persistência do TernDoor
A infecção pelo TernDoor começa com uma técnica de DLL side-loading. Um executivo Windows benigno chamado wsprint.exe é usado para carregar um arquivo malicioso, BugSplatRc64.dll. Esse carregador lê um arquivo codificado do disco e o decripta usando uma chave embutida (qwiozpVngruhg123), executando o shellcode resultante inteiramente na memória, uma tática que evita métodos de detecção baseados em arquivo.
Uma vez ativo, o shellcode descomprime e lança o TernDoor, que é injetado no processo legítimo do Windows msiexec.exe para se ocultar. O implante então decodifica sua configuração interna, que contém o endereço IP do C2, contagem de tentativas, número da porta e uma string personalizada de User-Agent para comunicação.
Para sobreviver a reinicializações, o malware cria uma tarefa agendada chamada "WSPrint" e altera chaves do Registro associadas a ela para ocultá-la das visualizações padrão do sistema. Ele também configura uma chave de inicialização automática (Run) no Registro para reiniciar o malware a cada login do usuário, mantendo dois caminhos de persistência separados simultaneamente. Adicionalmente, o TernDoor instala um driver Windows chamado WSPrint.sys e o ativa como um serviço do sistema. Esse driver cria um dispositivo virtual que o malware usa para suspender, retomar ou terminar processos, um método direto para desativar ferramentas de segurança ativas na mesma máquina.
Recomendações de defesa e impacto regional
A campanha representa uma ameaça direta e contínua para o setor de telecomunicações na América do Sul, incluindo o Brasil. A sofisticação dos implantes e a persistência buscada indicam objetivos de espionagem de longo prazo e possível preparação do terreno para futuras operações disruptivas.
As equipes de segurança devem auditar tarefas agendadas e chaves de inicialização automática no Registro em busca de entradas não autorizadas, monitorar eventos de DLL side-loading em diretórios de aplicativos e restringir a execução de drivers de kernel não assinados. A Talos recomenda bloquear os intervalos de IP conhecidos do C2 do UAT-9244 e implantar assinaturas do ClamAV — incluindo Win.Malware.TernDoor, Unix.Malware.BruteEntry e Unix.Malware.PeerTime — juntamente com a regra SNORT SID 65551 para proteger a infraestrutura de telecomunicações.
A descoberta reforça a necessidade de vigilância reforçada e compartilhamento de inteligência entre operadoras e autoridades de segurança cibernética na região, especialmente considerando a dependência crítica das redes de telecomunicações para a economia e a segurança nacional.