Campanha de espionagem direcionada a infraestrutura crítica
Um grupo de ameaças de língua chinesa conhecido como CL-STA-1062 tem conduzido uma campanha silenciosa, mas agressiva, contra agências governamentais e infraestrutura crítica de energia no sudeste asiático. Pesquisadores da Unit 42, braço de inteligência de ameaças da Palo Alto Networks, identificaram que o grupo, ativo desde pelo menos março de 2022, utilizou um conjunto de ferramentas que combina utilitários de código aberto amplamente disponíveis com um backdoor personalizado recém-descoberto chamado TinyRCT.
A campanha ganhou força em setembro de 2025, quando os atacantes invadiram uma rede governamental no sudeste asiático, implantando web shells e extraindo registros de banco de dados de um servidor MSSQL interno. A partir daí, expandiram seu alcance, escaneando entidades governamentais próximas em busca de oportunidades de movimento lateral e aprofundando sua presença na rede.
Detalhes técnicos do backdoor TinyRCT
O TinyRCT é um trojan de acesso remoto (RAT) leve desenvolvido especificamente para sistemas Windows. Ele chega à máquina da vítima através de um arquivo compactado malicioso chamado chrome_setup.zip, que carrega um instalador do Chrome legítimo ao lado de uma DLL maliciosa oculta. Quando o usuário executa o instalador, uma técnica chamada AppDomainManager Injection carrega silenciosamente o código malicioso dentro do processo confiável, mantendo-o fora da vista.
Uma vez que o carregador é executado, ele verifica se está sendo executado a partir da pasta Downloads do usuário. Se não, ele termina imediatamente, um truque deliberado para evitar ambientes de análise de sandbox. Se a verificação for bem-sucedida, ele entra em contato com um servidor de staging, deposita o payload do TinyRCT no diretório de dados do aplicativo local como PerfWatson2.exe e registra uma tarefa agendada para manter a infecção viva através de reinicializações do sistema.
Comunicação e persistência
Após se estabelecer, o TinyRCT verifica seu servidor de comando e controle (C2) a cada dez segundos. Todo o tráfego é criptografado usando AES-128, embora a chave de criptografia esteja codificada diretamente no binário. O backdoor pode executar comandos de shell, listar e ler arquivos, baixar payloads, capturar telas e se autodestruir usando uma rotina que aproveita o choice.exe para introduzir um atraso antes de remover seus próprios arquivos.
Alvos e vetores de ataque
O foco do grupo na infraestrutura de energia torna esta campanha particularmente alarmante. Pesquisadores descobriram que duas organizações de energia estatais no mesmo país do sudeste asiático foram comprometidas ativamente, com os atacantes escaneando vulnerabilidades e baixando payloads maliciosos nas redes infectadas. As ferramentas foram frequentemente agrupadas em arquivos RAR protegidos por senha para evitar acionar alertas de segurança.
Os atacantes usaram traceroute para mapear caminhos de movimento lateral para sistemas governamentais próximos e implantaram o JuicyPotato para escalar privilégios uma vez dentro de uma rede. Em pelo menos um caso, eles compactaram e exfiltraram um diretório inteiro de código-fonte de servidor web antes de enviá-lo para servidores controlados pelos atacantes.
Recomendações de defesa
Equipes de segurança no sudeste asiático, particularmente nos setores de energia e governo, devem observar binários não confiáveis executando de diretórios de dados de aplicativo locais e tarefas agendadas não familiares que imitam nomes de serviços legítimos. Revisar o tráfego HTTP de saída para comportamento regular de beaconing e impor políticas estritas sobre onde os executáveis são permitidos para executar são entre as etapas defensivas mais práticas disponíveis contra uma ameaça persistente como esta.
Indicadores de Comprometimento (IoCs)
- SHA256: 00e09754526d0fe836ba27e3144ae161b0ecd3774abec5560504a16a67f0087c (chrome_setup.zip)
- SHA256: 4e1f8888d020decd09799ec946f1bf677cac6612b24582ddbf4d8ede425d8384 (TinyRCT backdoor)
- IPv4: 139.180.134[.]221 (C2 / staging server)
- Arquivo: PerfWatson2.exe (Backdoor disfarçado)