Descoberta e escopo da ameaça vipertunnel
Uma nova ameaça maliciosa, denominada VIPERTUNNEL, tem sido identificada por analistas de segurança em redes corporativas, representando um risco significativo de acesso persistente e furtivo. A descoberta foi realizada pela InfoGuard Labs, liderada pelo pesquisador Evgen Blohm, durante um engajamento de resposta a incidentes de ransomware no início de 2026. O malware se destaca por sua capacidade de se esconder dentro de um arquivo DLL falso e utilizar uma cadeia de carregadores complexa para evitar a detecção por ferramentas de segurança convencionais.
O VIPERTUNNEL é um backdoor baseado em Python que cria um túnel proxy SOCKS5 para um servidor de comando e controle remoto, permitindo que os atacantes mantenham acesso persistente e discreto em ambientes comprometidos. O que torna essa ameaça particularmente eficaz é a cadeia de carregadores por trás dela, um sistema deliberadamente em camadas projetado para exaurir os analistas e manter o backdoor em execução muito tempo após o comprometimento inicial.
Como a infecção ocorre e persiste no sistema
O ataque começa com a criação de uma tarefa agendada na máquina da vítima, configurada para executar silenciosamente um interpretador Python legítimo, o pythonw.exe, a partir do diretório C:\ProgramData\cp49s\ sem nenhum argumento de linha de comando. Esse comportamento é incomum em ambientes Windows normais, onde o Python raramente é invocado dessa maneira sem um script alvo.
Em vez de apontar diretamente para um script, os atacantes modificaram um arquivo de inicialização do Python chamado sitecustomize.py, que o Python carrega automaticamente sempre que o interpretador é iniciado. Ao incorporar código malicioso aqui, eles garantiram a execução silenciosa toda vez que a tarefa agendada fosse disparada, deixando nada de suspeito nos logs de linha de comando. A inspeção mais detalhada revelou o sitecustomize.py adulterado, que usou a biblioteca ctypes do Python para chamar a API Py_GetArgcArgv, confirmar que não havia entrada de linha de comando presente e, em seguida, carregar silenciosamente um arquivo chamado b5yogiiy3c.dll via módulo runpy do Python.
Análise técnica da cadeia de ofuscação
O arquivo b5yogiiy3c.dll não é uma DLL real. É um script Python vestindo uma extensão DLL, um truque simples para enganar analistas e scanners de segurança. Dentro dele, três camadas de ofuscação protegem a carga útil final. O malware usa codificação Base85, criptografia AES e ChaCha20, e achatamento de fluxo de controle para tornar a engenharia reversa lenta e difícil.
Cada camada descriptografa a próxima e transfere a execução na memória, mantendo a carga útil final fora do disco em todos os momentos. O resultado é um backdoor proxy SOCKS5 totalmente funcional que se conecta externamente pela porta 443, a mesma porta do HTTPS, misturando-se com o tráfego web normal para evitar detecção. Uma vez que o sitecustomize.py aciona a DLL falsa, o carregador começa a processar um blob codificado de alta entropia armazenado no final do arquivo.
Esse blob passa por uma rotina de descriptografia personalizada que usa achatamento de fluxo de controle, substituindo o código sequencial por um loop while True dirigido por uma variável de estado, forçando os analistas a seguir cada transição manualmente em vez de ler o código de cima para baixo. Três camadas completas de ofuscação devem ser removidas antes de alcançar a carga útil final.
Infraestrutura de comando e controle e alcance
A carga útil recuperada é um script Python estruturado construído em torno de três classes: Wire, Relay e Commander. O Commander gerencia o handshake C2 e lança threads Relay sob demanda. O Relay lida com a lógica do proxy SOCKS5, roteando dados entre o servidor C2 e os alvos da rede interna, enquanto o Wire gerencia as operações de socket.
Todo o tráfego de saída roda na porta 443, com credenciais padrão embutidas como espaços reservados. A análise de infraestrutura encontrou quase 30 nós C2 ativos, todos nos Estados Unidos e executando Ubuntu 22.04 LTS. A campanha foi vinculada ao UNC2165 e EvilCorp, com o VIPERTUNNEL implantado como uma ferramenta de acesso persistente e pivoteamento de rede.
Relação com outras ameaças e ttps
Caçadores de ameaças na InfoGuard Labs também descobriram o mesmo framework de ofuscação sendo usado para entregar o ShadowCoil, um coletor de credenciais baseado em Python que visa navegadores Chrome, Edge e Firefox. Ambas as ferramentas parecem compartilhar uma utilidade de empacotador privada, e o padrão de ofuscação compartilhado sozinho é tratado como um forte indicador das operações contínuas desse cluster de ameaças.
O uso de técnicas de ofuscação avançadas e a persistência via arquivos de inicialização do Python indicam um nível sofisticado de operação, sugerindo que o grupo por trás do VIPERTUNNEL tem recursos significativos e foco em evasão de detecção a longo prazo. A associação com o UNC2165 e EvilCorp conecta essa atividade a um grupo de ameaças conhecido por operações de espionagem e roubo de dados.
Medidas de mitigação recomendadas
As equipes de segurança devem sinalizar o pythonw.exe sendo chamado sem argumentos via uma tarefa agendada e revisar os arquivos sitecustomize.py encontrados fora dos caminhos de instalação padrão do Python. Bloquear processos Python de fazer conexões de saída inesperadas na porta 443 pode reduzir a atividade de tunelamento.
Regras YARA que visam os nomes de classe Wire, Relay e Commander, juntamente com o identificador de erro ConnectionTimeoutOccuredError, fornecem cobertura de detecção sólida em todas as variantes conhecidas do VIPERTUNNEL. A monitorização de tarefas agendadas incomuns e a verificação de integridade de arquivos de configuração do Python são essenciais para a detecção precoce.
O que os cisos devem fazer imediatamente
Diante da descoberta do VIPERTUNNEL, os CISOs devem priorizar a revisão dos logs de execução de tarefas agendadas em seus ambientes Windows, focando especificamente em chamadas de pythonw.exe sem argumentos. A implementação de regras de detecção baseadas em comportamento, como o uso de sitecustomize.py fora do diretório padrão, deve ser considerada. Além disso, a segmentação de rede para limitar o tráfego de saída de servidores Python pode mitigar o risco de tunelamento de dados.