Descoberta e escopo
Pesquisadores identificaram o malware como parte da operação denominada Operation DreamJob. As análises públicas indicam que a família é implementada em C++ e foi usada contra empresas que fornecem tecnologia de veículos aéreos não tripulados (UAV) para a Ucrânia — objetivo declarado das campanhas é a exfiltração de propriedade intelectual e dados de produção.
Abordagem técnica e vetores
ScoringMathTea apresenta arquitetura modular e duas cadeias de infecção distintas, segundo a fonte. Entre as capacidades técnicas descrevem-se:
- execução remota de comandos;
- carregamento de plugins inteiramente em memória (reflective plugin loading), sem escrita em disco;
- múltiplos mecanismos de persistência;
- obfuscação de strings por um cifrador polialfabético customizado com chaining e tabela de 64 caracteres, que altera dinamicamente a chave de decriptação durante a execução;
- resolução dinâmica de APIs via hashing (algoritmo com seed fixo 0x2DBB955) e PEB walking para localizar kernel32.dll independentemente;
- comunicação com C2 sobre HTTP/HTTPS com camadas de compressão e cifragem (TEA/XTEA em CBC) seguida de Base64; envio de user-agent que imita Microsoft Edge;
- implementação manual de um Windows Loader em memória com verificação inline por CRC32 para detectar depuração.
Esses elementos combinados visam dificultar tanto análise estática quanto a detecção por soluções que dependem de API hooking ou assinaturas de rede.
Impacto e quem é afetado
As descrições públicas ligam o artefato a operações de coleta de inteligência contra fornecedores de UAVs com ligação à Ucrânia. A utilidade do RAT para operadores inclui controle persistente de estações comprometidas e execução de payloads temporários inteiramente em memória, o que facilita operações de espionagem e exfiltração sem deixar rastros fáceis em disco.
Limites das informações
As fontes técnicas detalham algoritmos (por exemplo, seed do hashing e uso de TEA/XTEA), mas não fornecem métricas públicas sobre número de vítimas ou amostras de C2 que permitam mapear alcance global da campanha. As informações também provêm majoritariamente de um pesquisador independente identificado como 0x0d4y e da cobertura técnica; as autoridades ou fabricantes citados nas publicações não emitiram alertas públicos registrados na matéria.
Mitigações e recomendações técnicas
Para equipes de defesa que monitoram APTs com foco em espionagem industrial, os pontos de atenção são:
- inspecionar tráfego HTTP/HTTPS com detecção de padrões de compressão + cifragem e checar user-agents atípicos que imitam navegadores para tráfego entre servidores internos e destinos desconhecidos;
- monitorar carregamentos em memória (reflective loading) e buscar sinais de carregadores manuais do Windows Loader e verificação por CRC32 em processos não usuais;
- revisar mecanismos de integridade e proteção contra tampering nos endpoints críticos (especialmente máquinas de engenharia e servidores ligados a P&D de UAVs);
- empregar análise comportamental para identificar resolução dinâmica de APIs e PEB walking — técnicas frequentemente usadas para evitar hooks de segurança.
Repercussão e próximos passos
ScoringMathTea ilustra como grupos alinhados a estados-nação continuam a evoluir técnicas de evasão para operações de espionagem. As fontes não detalham atribuição jurídica definitiva além das ligações operacionais mencionadas, e não houve, até a publicação do relatório técnico citado, divulgações formais por agências governamentais com indicadores centralizados. Equipes de threat hunting devem correlacionar IOC locais com artefatos e padrões técnicos descritos para validar possíveis compromissos.