Backdoor DRILLAPP Alvo Espionagem na Ucrânia Abusa Depuração do Edge
Entidades ucranianas emergiram como alvo de uma nova campanha provavelmente orquestrada por atores de ameaças ligados à Rússia, segundo um relatório da equipe de inteligência de ameaças LAB52 do S2 Grupo. A campanha, observada em fevereiro de 2026, foi avaliada como compartilhando sobreposições com uma campanha anterior montada pelo Laundry Bear (também conhecido como UAC-0190 ou Void Blizzard) voltada para forças de defesa ucranianas.
Características da Ameaça
O novo backdoor, denominado DRILLAPP, utiliza técnicas avançadas para manter o sigilo durante a operação de espionagem. Uma das características mais notáveis é o abuso da funcionalidade de depuração do Microsoft Edge para ocultar sua presença no sistema da vítima. Essa técnica permite que o malware se comunique com servidores de comando e controle (C2) de maneira que se assemelha a tráfego legítimo de desenvolvimento ou diagnóstico.
A análise inicial sugere que o grupo por trás desta campanha possui capacidades sofisticadas de ofuscação e persistência. O uso de ferramentas de depuração do navegador para fins maliciosos representa uma evolução nas táticas de operações de inteligência, onde o tráfego de rede é mascarado para evitar detecção por soluções de segurança tradicionais.
Contexto Geopolítico e Impacto
Este ataque ocorre em um contexto de conflito cibernético contínuo, onde a Ucrânia tem sido alvo frequente de operações de espionagem e sabotagem. A sobreposição com campanhas anteriores do Laundry Bear indica uma continuidade nas operações do grupo, possivelmente visando infraestrutura crítica ou informações governamentais sensíveis.
Embora o foco geográfico seja a Ucrânia, a técnica de abuso de depuração do Edge pode ser replicada contra alvos em qualquer região, representando um risco global para organizações que utilizam navegadores modernos para operações sensíveis. A capacidade de um backdoor de se esconder dentro de processos de depuração legítimos desafia as premissas tradicionais de monitoramento de rede e endpoint.
Implicações para a Cibersegurança
Para profissionais de segurança, este incidente reforça a necessidade de monitoramento contínuo de tráfego de rede incomum, mesmo quando originado de processos legítimos. A detecção de atividades de depuração fora de contextos de desenvolvimento conhecidos deve ser considerada um indicador de comprometimento (IoC).
A inteligência de ameaças fornecida pelo S2 Grupo LAB52 destaca a importância de compartilhar informações sobre táticas, técnicas e procedimentos (TTPs) de grupos de ameaças específicos para permitir que organizações se preparem proativamente contra campanhas similares. A vigilância contra backdoors que exploram funcionalidades de desenvolvimento é crucial para a defesa em profundidade.