Uma campanha direcionada identificada por pesquisadores está atacando organizações governamentais indianas usando um conjunto de ferramentas customizadas que abusam de repositórios GitHub como canal de comando e controle. A investigação técnica publicada por analistas indica um vetor inicial por phishing com documentos maliciosos e uma cadeia de ataque modular que termina com implantes como Cobalt Strike.
Descoberta e escopo
Pesquisadores da Zscaler, citados em reportagem do Cyber Security News, atribuem a campanha — denominada Gopher Strike — a atores com motivações de espionagem que vêm operando desde setembro de 2025. As vítimas documentadas são organizações governamentais na Índia; não há indicação pública de comprometimentos em massa fora do alvo governamental até o momento.
Vetor e exploração
O ataque começa com e-mails de spear-phishing que contêm PDFs enganadores. Esses PDFs induzem o destinatário a baixar um arquivo ISO por meio de um botão falso “Download and Install”, imitando uma atualização do Adobe Acrobat. O ISO contém um payload latente que, quando ativado, desencadeia a instalação dos componentes seguintes.
Ferramentas e cadeia operacional
- GOGITTER: componente inicial que atua como downloader. Segundo os analistas, ele busca payloads adicionais de repositórios GitHub controlados pelos operadores, utilizando tokens embutidos.
- GITSHELLPAD: backdoor leve cuja peculiaridade é usar repositórios privados do GitHub como canal de C2. Após a infecção, GITSHELLPAD cria diretórios no repositório do atacante (por exemplo, SYSTEM-[hostname]) e escreve um arquivo info.txt com dados do sistema codificados em Base64. O implante consulta a API do GitHub a cada ~15 segundos para obter instruções armazenadas em command.txt.
- GOSHELL: loader que injeta shellcode e, em estágios finais, entrega um Beacon do Cobalt Strike. O loader verifica hostnames hardcoded, limitando execução apenas a máquinas específicas (controle de alvo).
Evidências e limites
Os pesquisadores destacam que o uso do GitHub como canal de C2 permite ofuscação do tráfego malicioso dentro de acessos legítimos — tráfego que muitos ambientes corporativos e governamentais normalmente autorizam. Isso complica detecção por ferramentas baseadas em listas de bloqueio de IPs e em indicadores de rede convencionais.
Até a publicação do relatório não há evidência de exploração de zero‑day; o sucesso da campanha depende de engenharia social (phishing) e da capacidade dos operadores de inserir artefatos maliciosos em locais onde as vítimas confiam.
Impacto e setores afetados
O alvo declarado são instituições governamentais indianas, o que implica risco para confidencialidade e integridade de dados sensíveis de governo. A descoberta é relevante para equipes de defesa nacionais e para fornecedores de segurança que atendem setores público-privados que compartilham ferramentas de desenvolvimento e repositórios externos.
Mitigações recomendadas
- Bloquear ou monitorar ativamente execuções provenientes de ISOs não verificadas e validar assinaturas de artefatos antes da execução.
- Restringir tokens embedados em código e auditar repositórios internos e privados quanto a uploads/inserções não autorizadas.
- Monitorar chamadas à API do GitHub e padrões frequentes de polling por hosts que não são servidores de desenvolvimento conhecidos.
- Treinar usuários sobre PDFs interativos e o perigo de executar ‘updaters’ embutidos em documentos.
Repercussão
O uso de serviços amplamente confiáveis (GitHub) como canal de C2 deve reforçar a necessidade de telemetria de aplicações e de filtragem contextual, não apenas baseada em domínios. Zscaler e outros provedores de inteligência monitoram a infraestrutura associada à campanha para identificar variações e possíveis ampliações geográficas.
Fonte: relatório de pesquisadores divulgado via Cyber Security News, com análise técnica atribuída à Zscaler.