Após uma década de silêncio, o grupo conhecido como Careto ("The Mask") voltou a operar, empregando táticas aprimoradas de persistência que, conforme pesquisadores, têm como alvo infraestruturas de e‑mail corporativo.
O que foi identificado
Analistas da Securelist e outros relatórios reunidos apontam evidências de campanhas recentes atribuídas ao Careto, inclusive ataques direcionados que atingiram ao menos uma organização na América Latina em 2022. A atuação do grupo remonta a 2007, com foco histórico em agências governamentais, diplomacia e instituições de pesquisa; sua volta representa risco para alvos de alto perfil.
Vetor e persistência
Nos casos descritos, os invasores exploraram servidores MDaemon e, em particular, o componente WorldClient (webmail) para implantar persistência. Em vez de empregar um binário óbvio, os atacantes compilavam uma extensão maliciosa e alteravam o arquivo WorldClient.ini para carregar uma DLL controlada — por exemplo, configurando CgiBase6 e CgiFile6 de modo a redirecionar chamadas HTTP legítimas para código malicioso. Isso mistura a atividade do atacante com o tráfego normal de webmail, aumentando furtividade.
Movimentação lateral e implant
A partir do ponto de apoio no WorldClient, o grupo implantou um artefato chamado FakeHMP. O ataque faz uso de drivers legítimos — citou-se o hmpalert.sys (HitmanPro Alert) — para injetar código em processos privilegiados do Windows (winlogon.exe, dwm.exe), ampliando capacidades de vigilância: keylogging, captura de telas, exfiltração de arquivos e instalação de cargas adicionais.
Alvo e impacto
Embora o relatório mencione um incidente na América Latina em 2022, as fontes não divulgaram nomes de vítimas nessa publicação nem forneceram contagens de sistemas comprometidos. O padrão de ataque sugere alto risco para ambientes que usem MDaemon/WorldClient e para organizações com dependência crítica de e‑mail local.
Recomendações práticas
- Rever e endurecer configurações de webmail e componentes que permitam extensões carregadas dinamicamente;
- Monitorar alterações em arquivos de configuração (como WorldClient.ini) e verificar assinaturas/checagens de integridade de DLLs carregadas pelo serviço;
- Avaliar o uso de ferramentas de EDR para detectar injeção de código em processos privilegiados e comportamentos de keylogging/captura de tela;
- Isolar servidores de e‑mail e aplicar segmentação, além de manter inventário atualizado de serviços expostos.
Limites das informações
As matérias citadas não trazem divulgação pública de vítimas nomeadas nem métricas amplas de comprometimento nesta reemergência, limitando a visibilidade sobre alcance real das campanhas recentes. Em casos como esse, organizações devem tratar a ameaça como direcionada e realizar varredura proativa em suas implantações de MDaemon.
Contexto estratégico
O retorno do Careto demonstra que grupos com histórico de operações sofisticadas podem reaparecer e adaptar vetores para aproveitar componentes legítimos de software, reduzindo sinais óbvios de comprometimento. Isso reforça a necessidade de controles preventivos e detecção baseada em comportamento, especialmente em infraestruturas críticas de comunicação.