Descoberta e escopo da campanha
Um dos grupos de hackers mais perigosos apoiados por estados, conhecido como APT-C-13 e rastreado também como Sandworm, APT44, Seashell Blizzard e Voodoo Bear, está atacando ativamente servidores de Protocolo de Área de Trabalho Remota (RDP) em infraestrutura crítica, organizações de defesa e agências governamentais. A campanha mais recente marca uma mudança drástica de estratégia, afastando-se de ataques destrutivos de uma única vez para uma infiltração silenciosa e de longo prazo projetada para colher inteligência durante períodos estendidos.
O ponto de entrada da campanha é uma imagem ISO disfarçada chamada Microsoft.Office.2025x64.v2025.iso, distribuída através de canais do Telegram e comunidades de cracking de software na Ucrânia. Quando uma vítima monta a imagem e tenta instalar ou ativar o que parece ser o Microsoft Office, executores ocultos disfarçados como auto.exe ou setup.exe são lançados silenciosamente em segundo plano.
Armadilhas de engenharia social e persistência
Esse truque de engenharia social funciona porque as pessoas naturalmente confiam em nomes de software familiares. Uma vez acionado, o carregador inicial perfila o sistema alvo e implanta seletivamente módulos maliciosos adicionais. Analistas do Centro de Inteligência de Ameaças 360 identificaram esta campanha e confirmaram que o APT-C-13 está implantando um framework de penetração modular conhecido como a série Tambur/Sumbur/Kalambur.
O módulo Tambur estabelece persistência plantando tarefas agendadas nomeadas "Tambur" e "Protector" dentro do caminho \Microsoft\Windows\WDI\Protector\ — um local projetado para parecer exatamente como um componente nativo da Infraestrutura de Diagnóstico do Windows. Essas tarefas são executadas com privilégios de nível de administrador e usam uma senha fixa (1qaz@WSX) para manter acesso constante e ininterrupto ao serviço RDP no host infectado.
Técnicas avançadas de evasão e tunelamento
Os módulos Kalambur e Sumbur estendem esse controle ainda mais, roteando todo o tráfego de comando e controle (C2) através da rede anônima Tor, mascarando efetivamente a localização real do atacante. Usando tunelamento reverso SSH, o atacante mapeia a porta RDP da vítima (3389) para um servidor C2 remoto, permitindo logins remotos silenciosos de qualquer lugar do mundo.
Sumbur, a iteração mais refinada deste framework, imita o serviço de atualização do Microsoft Edge — armazenando VBScripts maliciosos em um diretório falso de atualização do Edge e acionando-os a cada quatro horas para se misturar perfeitamente com a atividade de software normal. O módulo DemiMur injeta um certificado raiz forjado (DemiMurCA.crt) na loja de certificados confiáveis do sistema. A partir desse ponto, o Windows trata todos os payloads maliciosos subsequentes como totalmente confiáveis e assinados.
Impacto operacional e neutralização de segurança
Combinado com exclusões forçadas do Microsoft Defender cobrindo toda a unidade C, a camada de segurança nativa do host é completamente neutralizada, deixando os atacantes com um ambiente operacional limpo e indetectável. O impacto desta campanha é sério e de longo alcance. Como a cadeia de ataque abusa principalmente de ferramentas legítimas do Windows — incluindo tarefas agendadas, SSH, PowerShell e RDP — as soluções antivírus padrão muitas vezes falham em levantar alertas.
O grupo não está mais com pressa; ele se planta silenciosamente e fica por meses, extraindo lentamente dados sensíveis dentro do ambiente de confiança da organização. O que torna isso especialmente preocupante é que, quando a maioria das organizações percebe que algo está errado, os atacantes provavelmente já alcançaram seus objetivos.
Medidas de mitigação recomendadas
As organizações devem bloquear imediatamente ferramentas de ativação de terceiros e imagens ISO não autorizadas de entrar em suas redes, pois estas servem como o canal de entrega primário para este ataque. O comportamento de rede interno — incluindo criação de tarefas agendadas, modificações de registro e execução de PowerShell — deve ser monitorado de perto para sinais de adulteração. A segurança de endpoint deve ser mantida totalmente atualizada com varreduras abrangentes regulares.
Instituições-chave e organizações industriais também devem fortalecer as práticas de auditoria interna e criar regras de detecção específicas para atividade anômala de RDP e SSH para prevenir o roubo de inteligência de longo prazo.
Perguntas frequentes
Qual é a principal tática do APT-C-13 agora?
A mudança de ataques destrutivos para espionagem persistente e parasitismo orientado por inteligência.
Como o módulo Tambur se esconde?
Usando tarefas agendadas no caminho WDI do Windows para parecer um componente legítimo.
Qual a senha fixa usada para persistência?
A senha 1qaz@WSX é usada para manter acesso ao serviço RDP.