Hack Alerta

APT24 e o malware BadAudio: cadeia de compromissos estratégicos e descarga de payloads AES

Por Redação Hack Alerta Publicado em 21/11/2025 10:01 Cyber ataques Tempo de leitura: 3 min

O downloader BadAudio, atribuído ao APT24, é um primeiro estágio ofuscado que descarrega payloads AES e tem sido distribuído via compromissos de sites legítimos, supply‑chain JS e phishing; analistas identificaram uso de Cobalt Strike em payloads subsequentes.

Relatórios de inteligência descrevem um campanha continuada atribuída ao grupo APT24 que emprega o downloader BadAudio, distribuído via compromissos estratégicos de sites legítimos e abusos de serviços de armazenamento em nuvem.

Descoberta e escopo

Analistas de segurança detectaram que o BadAudio opera como um primeiro estágio altamente ofuscado — um downloader escrito em C++ — usado por APT24 desde novembro de 2022. A campanha envolveu a injeção de JavaScript malicioso em mais de vinte sites legítimos, redirecionando visitantes a infraestrutura controlada pelo atacante.

Técnica de ataque

O componente BadAudio funciona baixando, descriptografando e executando payloads AES‑criptografados a partir de C2s com chaves AES embutidas no binário. O downloader coleta informações básicas do sistema (hostname, username, arquitetura), criptografa esses dados e os envia incorporados em parâmetros de cookies para endpoints controlados. Variantes recentes utilizam DLLs maliciosas e técnicas de DLL Search Order Hijacking para execução via aplicações legítimas, além de arquivos VBS, BAT e LNK empacotados para automação de persistência.

Vetores e abusos de confiança

A campanha combina três vetores principais: watering‑hole (sites comprometidos), compromissos de supply chain (bibliotecas/JS de empresas regionais de marketing digital) e spear‑phishing com iscas específicas — em um caso, mensagens remetidas como se viessem de organizações de resgate de animais. O grupo também fez uso de Google Drive e OneDrive para hospedar arquivos criptografados e facilitar distribuição.

Consequências e payloads subsequentes

Nos incidentes analisados, payloads subsequentes descriptografados por BadAudio foram identificados como beacons do Cobalt Strike, o que facilita controle remoto total da rede comprometida. A sofisticação do downloader inclui técnicas de ofuscação avançada, como control flow flattening, dificultando a engenharia reversa e a detecção por ferramentas tradicionais.

Limitações e contexto

As análises públicas associam a atividade ao APT24 e citam investigação de analistas do Google Cloud. As fontes não divulgam uma lista exaustiva de vítimas com nomes públicos, mas destacam um foco recente em entidades baseadas em Taiwan. Há diferença de ênfase entre relatórios quanto ao alcance operacional e detalhes de compromisso por vítima específica.

Recomendações operacionais

  • Monitorar redirecionamentos JS e anomalias em requisições web que envolvam cookies com payloads incomuns;
  • Fortalecer controles de supply chain para componentes web e revisar integridade de bibliotecas JS de terceiros;
  • Inspecionar artefatos de inicialização (DLLs, VBS, BAT, LNK) e aplicar detecção de comportamento para beacons como Cobalt Strike.

Fonte

Síntese baseada em reports de Cyber Security News e SecurityWeek, com referência a análises de investigadores do Google Cloud.

Baseado em publicação original de Google Cloud
Tags: #apt24 #badaudio #supply-chain #watering-hole #cobalt-strike #google-cloud #malware #downloaders #ofuscacao
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar