Uma nova ameaça identificada como DinDoor está utilizando o runtime legítimo Deno e arquivos instaladores MSI para contornar defesas de segurança e comprometer sistemas-alvo. O malware, rastreado como uma variante da Tsundere Botnet, depende de ambientes de runtime confiáveis e assinados em vez de implantar implantes compilados padrão, o que torna a detecção muito mais difícil em redes onde ferramentas como Deno já estão allowlistadas ou não são monitoradas ativamente.
Descoberta e escopo da ameaça
Os pesquisadores da Hunt.io identificaram o malware enquanto analisavam duas amostras carregadas em repositórios públicos, revelando diferenças comportamentais notáveis entre as variantes apesar de compartilharem o mesmo modelo de execução. A investigação encontrou que uma única consulta HuntSQL focada na resposta HTTP do DinDoor retornou 20 servidores C2 ativos no momento da publicação, espalhados por 15 sistemas autônomos diferentes.
Um relatório recente da Broadcom também vinculou a atividade do DinDoor ao grupo APT iraniano Seedworm, também rastreado como MuddyWater, conhecido por visar organizações nos Estados Unidos. A conexão do malware a um cluster de ameaças mais amplo é particularmente preocupante. O domínio C2 usado em uma amostra, serialmenot[.]com, foi documentado como infraestrutura multi-inquilino compartilhada usada por operadores de ransomware, grupos patrocinados por estados e atores de cibercrime.
Vetor e exploração técnica
O DinDoor é entregue às vítimas por meio de e-mails de phishing ou downloads maliciosos disfarçados de arquivos MSI. Assim que uma vítima abre um deles, o instalador baixa o runtime Deno do endpoint oficial dl.deno[.]land sem exigir privilégios de administrador. O malware então executa JavaScript ofuscado para fazer o fingerprint da máquina da vítima, alcançar sua infraestrutura de comando e controle (C2) e recuperar payloads adicionais.
Entendendo como o DinDoor se move através de um sistema revela como ele é deliberadamente construído para evitar detecção. Quando a primeira amostra, migcredit.pdf.msi, é executada, o msiexec.exe libera um script PowerShell e o lança através do cmd.exe com flags que ocultam a janela, pulam o carregamento de perfil e desabilitam a execução de políticas de execução.
O script verifica se o deno.exe já está presente e o instala se ausente, depois decodifica uma string base64 contendo o payload JavaScript e usa o Deno para executá-lo. A segunda amostra, Installer_v1.21.66.msi, toma uma rota ligeiramente diferente. Construída usando o conjunto de ferramentas WiX, ela carrega um certificado de assinatura de código vinculado a "Amy Cherne", que apareceu em pesquisas anteriores vinculadas ao MuddyWater.
Evidências e limites da infraestrutura
Uma vez que o Deno assume o controle, o payload vincula um ouvinte TCP no localhost como um mutex para prevenir reinfecção. Ele constrói um fingerprint único a partir do nome de usuário da vítima, nome do host, memória total e string de lançamento do OS, produzindo um ID hexadecimal de 16 caracteres anexado a cada solicitação C2. A amostra Installer também incorpora um JSON Web Token embutido na URL C2, expondo metadados da campanha incluindo domínio e configurações de proxy.
Os pesquisadores notaram que o domínio serialmenot[.]com foi vinculado pela JUMPSEC ao TAG-150, que o usa como backend para uma família de malware chamada CastleLoader, com a qual o DinDoor compartilha sobreposições comportamentais. Isso confirma que múltiplos atores de ameaças recorrem à mesma plataforma compartilhada usando credenciais separadas.
Medidas de mitigação recomendadas
As equipes de segurança devem tratar qualquer deno.exe inesperado executando como filho do powershell.exe ou wscript.exe como um alerta de alta prioridade. As organizações devem restringir a execução de MSI através do AppLocker ou Windows Defender Application Control para eliminar o principal vetor de entrega do DinDoor.
O monitoramento para padrões de linha de comando como deno.exe -A data:application/javascript;base64 e vinculações TCP no localhost nas portas 10044 ou 10091 pode ajudar a detectar infecções ativas. Os defensores de rede devem revisar os logs HTTP para cabeçalhos Via: 1.1 Caddy na porta 80 e considerar bloquear domínios associados conhecidos e comunicações com provedores de hospedagem suspeitos.
Impacto e alcance global
A descoberta do DinDoor destaca a crescente tendência de atores de ameaças utilizarem ferramentas legítimas para ofuscar atividades maliciosas. O uso do Deno, uma ferramenta de desenvolvimento legítima, permite que o malware opere em ambientes onde o tráfego de runtime JavaScript pode ser menos monitorado do que executáveis tradicionais.
A vinculação ao Seedworm/MuddyWater sugere que esta campanha pode ter objetivos de espionagem de longo prazo, focando em organizações governamentais ou corporativas críticas. A infraestrutura C2 compartilhada indica uma colaboração ou aluguel de infraestrutura entre grupos de cibercrime e atores patrocinados por estados, complicando as respostas de defesa.
Perguntas frequentes
Como identificar o DinDoor em logs? Procure por processos deno.exe iniciados por msiexec.exe ou powershell.exe, especialmente com argumentos base64 ou URI.
Qual a severidade da ameaça? Crítica devido à capacidade de evasão de detecção e vinculação a grupos APT conhecidos.
Devo bloquear o Deno? Não necessariamente, mas monitore seu uso e restrinja a execução não autorizada via AppLocker.