O grupo experiente Cloud Atlas permanece ativo, continuando a visar setores governamentais e entidades diplomáticas na Rússia e na Bielorrússia, empregando técnicas novas e estabelecidas para manter a persistência em sistemas comprometidos. Em 2025, observamos atividade pervasiva de túneis SSH, que permaneceu ativa em 2026, afetando muitas organizações governamentais e empresas comerciais. Por trás de parte dessa atividade está o Cloud Atlas, um grupo que conhecemos desde 2014.
Técnicas de infecção inicial e persistência
O grupo voltou a enviar arquivos compactados contendo atalhos maliciosos que iniciam scripts PowerShell. Esta técnica é empregada além do uso anteriormente descrito de documentos maliciosos, que exploram uma vulnerabilidade antiga no processo Microsoft Office Equation Editor (CVE-2018-0802) para baixar e executar código malicioso. Os atacantes usam arquivos LNK para executar silenciosamente scripts PowerShell hospedados em recursos externos.
O script PowerShell baixado executa uma série de ações: deposita o payload principal localmente, cria chaves de registro para persistência, baixa e extrai arquivos de isca, executa o payload principal e limpa os artefatos de infecção. O script Fixed.ps1 é o principal carregador que entrega e instala malware subsequente, especificamente VBCloud e PowerShower.
Novas ferramentas e backdoors
O VBCloud é um backdoor que funciona como um coletor de arquivos, extraindo arquivos com extensões de interesse (DOC, PDF, XLS) e exfiltrando-os. O PowerShower é usado principalmente para reconhecimento de rede e movimento lateral. Ele pode coletar informações sobre processos em execução, grupos de administradores e controladores de domínio, baixar e executar scripts PowerShell do servidor C2 e conduzir ataques de Kerberoasting.
Uma nova ferramenta chamada PowerCloud coleta dados de usuário com privilégios de administrador e escreve essas informações em planilhas do Google em formato Base64. Além disso, os atacantes usam um script de verificador de navegador para detectar quando o usuário está trabalhando no computador, escolhendo o momento ideal para conduzir ataques.
Túneis de comunicação e evasão
Os atacantes amplamente implantaram túneis SSH reversos para muitos hosts de interesse. A máquina comprometida inicia uma conexão SSH para um servidor controlado pelo atacante, permitindo que eles contornem regras de firewall padrão. Para estabelecer persistência, os atacantes adicionaram uma nova tarefa agendada no Windows. Em alguns casos, antes de estabelecer um túnel SSH reverso, os atacantes definiram novas permissões de acesso à pasta contendo a chave privada.
Também foram observados túneis RevSocks e uso da rede Tor para manter o controle sobre o host comprometido. O Tor foi usado para tornar a máquina infectada acessível via RDP da rede Tor quando se acessa o domínio .onion gerado.
Modificação de sistemas e movimento lateral
Os atacantes executaram um script PowerShell suspeito chamado rdp_new.ps1 para permitir múltiplas sessões RDP no Windows 10, modificando o arquivo termsrv.dll. Isso permite que os atacantes operem na máquina em segundo plano sem desconectar o usuário legítimo, reduzindo a probabilidade de detecção. Além disso, alguns binários OpenSSH usados pelos atacantes tiveram suas importações modificadas para evadir detecção.
Implicações para a segurança nacional e corporativa
As vítimas identificadas estão localizadas na Rússia e na Bielorrússia, com setores governamentais e diplomáticos sendo os principais alvos. A atividade do Cloud Atlas demonstra a persistência de grupos de APT e a evolução de suas táticas para incluir túneis de comunicação diversificados e ferramentas de coleta de dados sofisticadas. A criação de canais de controle de backup usando utilitários publicamente disponíveis complica significativamente a interrupção completa das ações dos atacantes.
O que os CISOs devem fazer agora
As equipes de segurança devem monitorar a atividade de túneis SSH e RevSocks em suas redes. A verificação de modificações em arquivos do sistema críticos, como termsrv.dll, é essencial. A implementação de controles de acesso rigorosos e a auditoria de tarefas agendadas podem ajudar a detectar atividades maliciosas. A educação dos usuários sobre e-mails de phishing e arquivos anexados suspeitos é fundamental para prevenir a infecção inicial.
Perguntas frequentes
Como detectar o Cloud Atlas? Monitore a atividade de túneis SSH, scripts PowerShell suspeitos e modificações em arquivos do sistema como termsrv.dll.
Qual o impacto nos governos? O grupo visa entidades governamentais e diplomáticas, buscando espionagem e coleta de dados sensíveis.
Como mitigar? Implemente controles de acesso, monitore tarefas agendadas e revise a integridade de arquivos do sistema.