Hack Alerta

Evasive Panda: cadeia de ataque APT usa envenenamento de DNS e MgBot

Por Redação Hack Alerta Publicado em 24/12/2025 05:02 Cyber ataques Tempo de leitura: 4 min

Relatório da Kaspersky descreve uma campanha APT da Evasive Panda que usou atualizadores falsos, possível envenenamento de DNS e um loader multiestágio para entregar o implante MgBot. O esquema combina DPAPI+RC5, injeção em processos e C2s listados em várias regiões; vítimas foram identificadas na Turquia, China e Índia.

Introdução

Relatório técnico da Kaspersky detalha uma campanha sofisticada atribuída ao grupo APT conhecido como Evasive Panda (também identificado como Bronze Highland / Daggerfly / StormBamboo). A investigação descreve uma cadeia de infecção multiestágio que combina atualizadores falsos, possível envenenamento de DNS (DNS poisoning), carregadores customizados e o implante MgBot.

Resumo da descoberta

O relatório da Kaspersky descreve operações observadas entre novembro de 2022 e novembro de 2024. Os operadores entregaram um loader inicial disfarçado como atualizador legítimo (ex.: SohuVA, iQIYI) que, em uma segunda fase, recupera um shellcode cifrado via recursos web aparentemente legítimos (por exemplo, dictionary[.]com) — os quais, segundo a análise, teriam sido resolvidos para IPs controlados pelo atacante por meio de manipulação de DNS.

Vetor e cadeia de execução

A cadeia de ataque identifica pelo menos dois loaders. O inicial (um executável em C++ usando WTL) decripta e descomprime uma configuração LZMA, prepara um shellcode e executa uma segunda fase. A segunda fase pode ser obtida como um ficheiro disfarçado (PNG) servido por um domínio legítimo cuja resolução foi alterada. Em seguida, o código usa técnicas como VirtualProtect, injeção em processos legítimos e sideloading de DLL para executar o implante em memória.

Evidências técnicas e persistência

  • O implant final identificado é o MgBot, injetado em processos como svchost.exe.
  • O operador utiliza um loader secundário (libpython2.4.dll) que grava e lê ficheiros como C:\ProgramData\Microsoft\eHome\perf.dat e status.dat; o conteúdo é protegido por um esquema híbrido (DPAPI + RC5) para tornar o payload dependente da máquina infectada.
  • Hashes e IoCs publicados: c340195696d13642ecf20fbe75461bed (sohuva_update...), 7973e0694ab6545a044a49ff101d412a (libpython2.4.dll), 9e72410d61eaa4f24e0719b34d7cad19 (MgBot).
  • IPs de C2 indicados no relatório incluem 60.28.124.21, 123.139.57.103, 140.205.220.98, entre outros — o relatório lista várias dezenas de endereços usados como C2 e AitM C2.

Alcance e vítimas conhecidas

A telemetria da Kaspersky aponta vítimas detectadas na Turquia, China e Índia; alguns sistemas permaneceram comprometidos por mais de um ano. O relatório não fornece uma contagem agregada global de vítimas nem identifica organizações específicas de grande porte além dos países citados.

O que mudou agora

A novidade técnica destacada pela Kaspersky é o uso de um novo loader e um esquema híbrido de cifragem do payload (DPAPI + RC5) que amarra partes críticas da cadeia ao sistema da vítima, dificultando análise externa. Há também indicação de uso de respostas DNS manipuladas para distribuir estágios do ataque a partir de domínios legítimos, complicando detecção por listas básicas de reputação.

Implicações para defensores

  • Monitorar e bloquear IoCs publicados (hashes, caminhos em disco e IPs/URLs de C2) em soluções EDR, proxies e firewall de borda.
  • Investigar atualizadores de terceiros colocados em ambientes corporativos; validar assinaturas e canais oficiais antes de aplicar patches/outros binários.
  • Monitorar movimentos de arquivos e leituras de perf.dat/status.dat em %ProgramData% e comportamentos de libpython2.4.dll/evteng.exe não esperados.
  • Considerar análises de integridade em resoluções DNS internas: discrepâncias entre resoluções esperadas de domínios legítimos e os IPs efetivamente conectados podem indicar envenenamento ou interceptação na cadeia de resolução (ISP/edge).

Limites da análise

A Kaspersky indica não ter conseguido recuperar diretamente o segundo estágio hospedado no servidor do atacante durante a análise; por isso, alguns detalhes do payload final e do mecanismo preciso de envenenamento DNS permanecem sem confirmação absoluta. O relatório sugere hipóteses (intervenção em ISPs ou comprometimento de roteadores/firewalls de borda), mas não as confirma com artefatos forenses públicos.

Conclusão

O trabalho da Kaspersky documenta uma operação APT tecnicamente sofisticada e persistente, com inovações para evitar análise e amarrar payloads a máquinas específicas. As equipes de defesa devem tratar as IoCs e as técnicas descritas como indicadores de uma campanha direcionada de alto risco e priorizar investigação de anomalias em resoluções DNS, atualizadores de terceiros e artefatos escritos em ProgramData conforme listado no relatório.

Fonte técnica: Kaspersky GReAT — análise publicada em 24/12/2025; indicadores e detalhes técnicos conforme o relatório.
Baseado em publicação original de Kaspersky
Tags: #evasive-panda #mgbot #apt #dns-poisoning #dpapi #rc5 #injection #c2 #attribution
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar