Hack Alerta

Candiru e o DevilsTongue: spyware mercenário com clusters em oito países

Por Redação Hack Alerta Publicado em 02/12/2025 12:03 Riscos e Ameaças Tempo de leitura: 3 min

Recorded Future identificou nova infraestrutura do spyware DevilsTongue, da Candiru, operando em oito clusters e voltada a alvos de alto valor. Técnicas incluim COM hijacking, driver physmem.sys e execução in‑memory, complicando detecção e investigação.

Analistas do Recorded Future, reportados por veículos de segurança, identificaram nova infraestrutura ligada ao spyware DevilsTongue, comercializado pela empresa Candiru. A operação opera em múltiplos clusters (oito identificados) distribuídos por países como Hungria, Arábia Saudita, Indonésia e Azerbaijão, e é voltada a alvos de alto valor — políticos, jornalistas e líderes empresariais.

Panorama e modelo comercial

DevilsTongue é um produto mercenário: o modelo de negócios inclui contratos de licenciamento por concorrência de infecções. Fontes citam propostas vazadas que mostram um contrato base a partir de €16 milhões, permitindo infecções ilimitadas com 10 dispositivos monitorados simultaneamente; pacotes adicionais expandem capacidade e alcance geográfico.

Abordagem técnica e persistência

Tecnicamente, o spyware apresenta um conjunto sofisticado de técnicas para permanecer indetetável. Entre os métodos documentados estão:

  • COM hijacking por sobrescrição de chaves de classe no registro, apontando para um DLL de primeira fase em C:\Windows\system32\IME;
  • Uso de um driver assinado de terceiros (physmem.sys) para acesso em nível de kernel e proxy de chamadas API;
  • Execução de payloads adicionais exclusivamente em memória, com criptografia atrelada ao transporte e medidas de limpeza de metadados que dificultam investigação forense;
  • Extração de credenciais de LSASS, navegadores e aplicativos de mensageria — incluindo Signal — seguida de hashing e ocultação de artefatos.

O malware ainda restabelece a DLL COM original durante o processo de hijacking para evitar instabilidade que poderia disparar alertas de segurança.

Impacto e nicho de atuação

O foco em "high value individuals" coloca DevilsTongue no centro do mercado de spyware mercenário. A modularidade, as técnicas de evasão e a capacidade de operar através de camadas (incluindo Tor) aumentam o desafio para equipes de defesa e investigação, especialmente em contextos onde dispositivos e comunicações sigilosas são críticos.

Contexto regulatório e histórico

Candiru já enfrentou sanções: o Departamento de Comércio dos EUA impôs restrições em novembro de 2021. Mesmo assim, a descoberta indica que a empresa e seus clientes continuam a adaptar operações e infraestrutura para manter capacidade de infiltração e persistência.

Limitações das informações

As fontes descrevem clusters e técnicas, mas não apresentam uma lista completa de domínios C2, nem um inventário público de vítimas. A estimativa de alcance real e a identificação de alvos específicos permanecem restritas às equipes de inteligência que investigam as amostras e os logs de rede.

O que fazer

  • Para defensores, revisar telemetria por sinais de COM hijacking e presença de drivers atípicos assinados;
  • Implementar proteção contra extração de credenciais (LSASS protection, cred guard) e reforçar políticas de criptografia e autenticação em endpoints;
  • Organizações e indivíduos de alto risco devem considerar avaliações de integridade de dispositivos e serviços de detecção especializados para mercenary spyware.
Baseado em publicação original de Cyber Security News
Tags: #spyware #candiru #devilstongue #windows #persistence #mercenary #surveillance #recorded-future #com-hijacking
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar