Descoberta e panorama
O relatório detalha uma operação voltada a organizações governamentais e veículos de mídia no Sudeste Asiático (Laos, Camboja, Singapura, Filipinas e Indonésia). A cadeia de ataque começa com um arquivo chamado “Proposal_for_Cooperation_3415.05092025.rar” que explora CVE‑2025‑8088 — uma falha de path traversal no WinRAR — permitindo a execução do dropper quando o conteúdo é extraído.
Abordagem técnica e vetor de exploração
Segundo a análise, a exploração de CVE‑2025‑8088 permite gravar um script de persistência na pasta de inicialização por meio de path traversal combinado com Alternate Data Streams. O dropper executa um arquivo em lote denominado "Windows Defender Definition Update.cmd" que baixa payloads adicionais de serviços de armazenamento (por exemplo, Dropbox) e estabelece persistência via registro.
As fases seguintes abusam de componentes legítimos para DLL sideloading. O relatório descreve duas instâncias concretas:
- Um executável legítimo do OBS browser é usado para carregar uma libcef.dll modificada que executa código malicioso.
- O componente Adobe Creative Cloud Helper.exe carrega um CRClient.dll malicioso que decripta e executa um payload final armazenado como "Update.lib".
O processo de decriptação utiliza XOR simples (chave 0x3c), e a comunicação do backdoor é feita via HTTPS com servidores de comando e controle apontados para public.megadatacloud[.]com e o IP 104.234.37[.]45. O backdoor suporta oito comandos, incluindo execução de shell, captura de tela, upload de arquivos e um kill switch.
Impacto e alcance
Alvos claros são governos e mídia — setores de alto valor para espionagem por influenciarem decisões políticas e a opinião pública. A campanha é descrita como multi‑estágio e projetada para manter persistência e evitar detecção por produtos de segurança tradicionais, usando técnicas como search‑order hijacking e Alternate Data Streams.
Limites das informações
A análise apresentada traz detalhes técnicos do modus operandi, nomes de arquivos e infraestrutura C2; no entanto, não há métricas públicas sobre número de vítimas ou países adicionais além dos citados. Também não há atribuição definitiva do ator por fontes oficiais além da nomenclatura usada pela pesquisa.
Mitigações e recomendações
Com base nas técnicas relatadas, medidas práticas para equipes de defesa incluem:
- Aplicar correções e mitigações relacionadas a CVE‑2025‑8088 no WinRAR e bloquear extrações automáticas de arquivos RAR de origem não confiável.
- Monitorar atividade de criação de arquivos na pasta de inicialização e entradas de registro suspeitas associadas a nomes de scripts e binários citados.
- Restringir execução de binários externos e aplicar proteção contra DLL sideloading: validar assinaturas, usar políticas de busca segura e manter software atualizado.
- Inspecionar tráfego HTTPS para domínios e IPs indicados e correlacionar com indicadores de comprometimento locais.
Contexto operacional
Campanhas que combinam exploração de vulnerabilidades públicas (CVE) com técnicas legítimas de carga/sideloading aumentam a dificuldade de detecção. Equipes de resposta devem priorizar inteligência de endereços e fingerprints de payloads, além de revisar controles de ingestão de arquivos provenientes de e‑mail e serviços de armazenamento.