Hack Alerta

APT‑Q‑27 executa invasões discretas a ambientes corporativos financeiros

Por Redação Hack Alerta Publicado em 06/02/2026 10:03 Riscos e Ameaças Tempo de leitura: 2 min

CyStack revela campanha atribuída ao APT‑Q‑27 que comprometeu ambientes corporativos financeiros via ticket de suporte com link malicioso. O malware usou DLL sideloading, execução em memória e um binário com assinatura revogada mas timestamp válido para evadir SmartScreen, permitindo reconhecimento e provável exfiltração sem disparar alertas convencionais.

Introdução

CyStack reporta uma campanha de alta sofisticação atribuída ao grupo rastreado como APT‑Q‑27 (também referido como GoldenEyeDog) capaz de infiltrar redes corporativas sem disparar alertas tradicionais.

Descoberta e vetor

A investigação identificou uma intrusão iniciada por um ticket de suporte (Zendesk) contendo um link malicioso. O URL foi confeccionado para parecer um arquivo de imagem, mas baixava um executável mascarado como “.pif”. Em ambientes Windows com extensões ocultas, o arquivo parecia legítimo, reduzindo suspeita do usuário.

Metodologia de evasão

O malware usou uma assinatura digital revogada (emitida para “Portier Global Pty Ltd.”) com carimbo de tempo válido. Devido à presença do timestamp, o executável continuou a ser tratado como confiável pelo Windows, permitindo que várias proteções, incluindo SmartScreen, não bloqueassem sua execução.

Técnicas pós‑exploração

  • Criação de diretório de staging que imita cache do Windows Update para disfarce;
  • DLL sideloading: um executável assinado carrega crashreport.dll malicioso;
  • Execução em memória e design modular de backdoor, reduzindo artefatos em disco e exposição a scanners baseados em arquivo.

Impacto operacional

A furtividade do ataque permite reconhecimento e movimentação lateral sem detecção imediata, aumentando risco de exfiltração de dados sensíveis em instituições financeiras, assim como potencial entrega de módulos adicionais para espionagem ou roubo.

Recomendações práticas

  • Priorizar hunting por comportamentos: carregamento inesperado de DLLs, processos que abrem portas de rede e uso de binários assinados em diretórios incomuns;
  • Implementar monitoramento de integridade de certificados e rever controles de confiança em executáveis com timestamps;
  • Reforçar treinamentos sobre engenharia social aplicada a sistemas de suporte e rever fluxos de interação entre clientes e help desk;
  • Preparar playbooks de contenção para isolar hosts que exibam sinais de execução em memória e sideloading.

Limitações

O relatório fornece amostras de técnicas e artefatos observados, mas não há indicação pública de quantas vítimas foram afetadas nem de uma atribuição política/estatal confirmada — CyStack associa o perfil técnico ao APT‑Q‑27 com base em similaridades com campanhas anteriores.

Fonte: Cyber Security News (relato baseado em análise da CyStack)

Baseado em publicação original de Cyber Security News
Tags: #apt-q-27 #goldeneyedog #dll-sideloading #stealth #finance #zendesk #signed-binary #memory-execution #threathunting
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar