Um grupo de hackers conhecido como INJ3CTOR3 tem executado uma campanha ativa contra sistemas FreePBX, implantando um novo webshell PHP descoberto chamado JOMANGY que usa seis camadas de persistência separadas para permanecer incorporado em servidores comprometidos. A campanha visa sistemas de telefone VoIP expostos à internet e roteia chamadas através deles às custas das vítimas, um esquema conhecido como fraude de tarifação.
Campanha e persistência
O que diferencia esta campanha é como sua persistência foi projetada. Os seis canais não são backups independentes sentados em paralelo. Cada um pode reconstruir todos os outros canais, tornando a infecção genuinamente auto-cura. Limpar cinco dos seis ainda entrega ao atacante uma janela de recuperação medida em minutos. O primeiro canal polla o servidor de comando e controle do atacante a cada um a três minutos via jobs cron agendados, rebaixando e reexecutando continuamente o dropper.
O segundo dispara um payload de reinfeção em cada login root e reinicialização do sistema injetando código em arquivos de perfil de shell. O terceiro armazena oito cópias de crontab imutáveis em diretórios ocultos, protegidas por um atributo de arquivo que bloqueia silenciosamente a exclusão mesmo por root, apoiado por dois loops de restauração separados.
Contas ocultas e detecção
A infecção também deixa silenciosamente 18 contas de backdoor em três níveis. Nove carregam privilégios equivalentes a root completos, oito operam no nível de conta de serviço e uma é injetada no painel web do FreePBX via MySQL. Nomes de conta como asterisk, freepbxuser e spamfilter foram deliberadamente escolhidos para se misturar à lista legítima de contas que administradores esperariam encontrar.
O JOMANGY não tinha documentação pública anterior antes desta análise e usa ofuscação de dupla camada combinando codificação base64 e ROT13 para derrotar scanners automatizados. No momento da pesquisa, o dropper primário tinha apenas quatro detecções em 76 motores antivírus, enquanto k.php e wr.php tinham zero.
Medidas de mitigação recomendadas
Qualquer pessoa lidando com uma infecção confirmada é aconselhada a reconstruir a partir de uma linha de base limpa, pois deixar mesmo um canal ativo dá ao atacante alavancagem suficiente para restaurar toda a pilha de infecção em minutos. A correção das vulnerabilidades CVE-2025-64328 e CVE-2025-57819 é essencial, mas não suficiente se a infraestrutura cron já estiver comprometida.
Indicadores de comprometimento (IoCs)
IPs incluem 45[.]95[.]147[.]178 (C2 primário) e 45[.]234[.]176[.]202 (C2 anterior). Hashes MD5 incluem b506fc82 (dropper Bash), 100259af (k.php) e d40180f7 (wr.php). Contas backdoor incluem newfpbx, centos, admin, support, sugarmaint e freepbxusers.