Pesquisadores identificaram um servidor de comando e controle (C2) com um diretório aberto que continha uma implantação completa do framework BYOB. A descoberta — documentada por analistas da Hunt.io — descreve um conjunto multiestágio de droppers, stagers e módulos de pós‑exploração capazes de operar em Windows, Linux e macOS.
Descoberta e escopo
Segundo a análise publicada, o servidor identificado (IP 38.255.43.60, porta 8081) estava hospedando a arquitetura inteira do BYOB em um diretório público. A infraestrutura foi encontrada por ferramentas de caça‑ameaças da Hunt.io quando detectaram o padrão de diretório aberto típico de servidores ativos de C2.
Como o ataque se organiza
O BYOB opera em três estágios:
- Dropper inicial — um binário de apenas 359 bytes que usa múltiplas camadas de ofuscação (Base64, Zlib e Marshal) para escapar de mecanismos de detecção por assinatura;
- Stager — ~2 KB, realiza checagens anti‑VM (variáveis de ambiente e processos associados a VirtualBox, VMware, Hyper‑V e Xen) antes de prosseguir;
- Payload final — um RAT de aproximadamente 123 KB que estabelece comunicação HTTP criptografada com o C2 e carrega módulos adicionais sob demanda.
Persistência e capacidades pós‑exploração
A amostra analisada apresenta sete mecanismos de persistência variados, ajustados por sistema operativo. Exemplos documentados incluem criação de chaves de execução em registro no Windows (disfarçadas como “Java‑Update‑Manager”), atalhos URL na pasta de inicialização, tarefas agendadas, assinaturas WMI; em Linux, entradas maliciosas em crontab; em macOS, LaunchAgents.
O payload também traz módulos modulares de vigilância: keylogger (pyHook/pyxhook), sniffer de pacotes por raw sockets e um módulo de extração de Outlook que usa automação COM para acessar sessão já autenticada do Outlook e coletar mensagens. Há ainda funções para manipular processos e tentar desativar ou bloquear ferramentas de proteção (por exemplo, impedir o Task Manager de abrir).
Infraestrutura e monetização
A Hunt.io relata que a campanha está em atividade desde pelo menos março de 2024. A infraestrutura observada se estende por múltiplas jurisdições (EUA, Singapura, Panamá), o que sugere planejamento operacional e diversificação geográfica dos nodes.
Além dos componentes de acesso remoto, dois dos cinco nós identificados hospedavam o minerador XMRig, indicando que os operadores também monetizam acesso por meio de cryptomining — uma combinação de objetivos financeiros e manutenção de acesso persistente.
Evidências, limites e o que não foi divulgado
O relato fornece evidências técnicas do diretório exposto e das amostras coletadas; no entanto, não há na publicação números de vítimas ou indicadores de comprometimento (IOCs) completos liberados ao público no material que embasa esta matéria. Também não há confirmação pública de exploração em instituições ou países específicos.
“A descoberta ocorreu quando nossos sistemas detectaram o padrão de diretório aberto em um servidor de C2 ativo”, reporta a Hunt.io conforme a investigação citada.
Implicações para defesa
Organizações devem considerar as seguintes ações, com base nas capacidades documentadas:
- Bloquear e monitorar o tráfego para endpoints e portas não usuais (ex.: porta 8081) e investigar diretórios abertos em servidores públicos;
- Fortalecer detecção de execução de binários ofuscados e sinais de staging (decodificações Base64 inusitadas, processos que realizam checagens anti‑VM);
- Auditar persistência: verificar entradas de Run, tarefas agendadas, WMI subscriptions, crontabs e LaunchAgents que não sejam esperados;
- Monitorar processos que interajam com clientes de e‑mail via COM (Outlook) e tráfego interno que exponha extração de mensagens.
Os detalhes técnicos apontados pela Hunt.io evidenciam um toolkit com amplitude cross‑platform que complica remoções e investigações. Onde faltam dados públicos — como IOCs amplamente acionáveis ou um inventário de alvos — as equipes de resposta devem priorizar controles comportamentais e inspeção de infraestrutura pública exposta.