Um cluster de malware recém-identificado conhecido como GhostShell foi encontrado atacando ativamente as operações de drones da Ucrânia e sua cadeia de suprimentos de defesa mais ampla. A campanha utiliza uma combinação sofisticada de técnicas, incluindo um implant de TLS mútuo e um resolvedor baseado em Telegram, para estabelecer persistência silenciosamente dentro das redes alvo. O ator de ameaças por trás desta operação está ativo desde pelo menos fevereiro de 2026.
Descoberta e escopo do ataque
O malware chega através de um arquivo compacto envenenado chamado Besomar_documentation.rar, que explora duas vulnerabilidades de manipulação de arquivos, CVE-2025-8088 e CVE-2025-6218. Uma vez aberto, o arquivo deposita silenciosamente um script malicioso na pasta de inicialização do Windows, garantindo que o malware seja executado sempre que o sistema for iniciado. O arquivo também carrega um conjunto de arquivos PDF isca projetados para impersonar a Besomar, uma empresa ucraniana conhecida por construir drones de asa fixa de alta precisão.
Vetor e exploração técnica
O malware entrega três payloads distintos após a execução do script inicial, cada um tomando um caminho diferente para retornar ao atacante. Um payload estabelece um implant persistente, outro usa um canal do Telegram como um resolvedor ao vivo para recuperar o endereço do servidor do atacante, e um terceiro tunela dados roubados através de um proxy criptografado. O uso de canais de comunicação separados torna mais difícil para os defensores cortar todo o acesso de uma vez.
Evidências e limites da campanha
O primeiro payload, chamado 122.exe, atua como um carregador que descriptografa e executa um implant Stage-2 diretamente na memória sem escrever nada visível no disco. O implant se comunica com o servidor de comando sobre HTTPS e autentica usando um certificado de cliente personalizado emitido por uma autoridade privada rotulada como "GhostShell Implant CA". Esta abordagem de TLS mútuo significa que o servidor só responderá a conexões que carreguem o certificado correto.
Impacto e alcance
O segundo payload, update.exe, disfarça-se como o Serviço de Saúde de Segurança do Windows e usa um canal do Telegram no t.me/flufff6262 como um resolvedor dead-drop. Ele busca um valor codificado nesse canal, decodifica-o para obter o endereço do servidor ao vivo do atacante e injeta um payload de shellcode que se conecta de volta sobre HTTPS. O terceiro componente, 22.exe, é um lançador baseado em Go que encapsula um cliente de tunelamento completo.
Medidas de mitigação recomendadas
Organizações que trabalham dentro ou ao lado do setor de defesa da Ucrânia devem tratar arquivos compactos inesperados com cautela, especialmente aqueles que referenciam hardware de drones ou materiais de aquisição. Bloquear o acesso a domínios recém-registrados na periferia da rede pode reduzir a exposição a este tipo de entrega escalonada. As equipes de segurança também devem procurar certificados de cliente mTLS com a string de emissor "GhostShell Implant CA" no tráfego capturado.
Implicações regulatórias e operacionais
A descoberta do GhostShell destaca os riscos de segurança na cadeia de suprimentos de defesa e a necessidade de monitoramento rigoroso de arquivos compactos e scripts de inicialização. A exploração de vulnerabilidades conhecidas em arquivos RAR enfatiza a importância de manter sistemas atualizados e de aplicar patches de segurança de forma proativa. A segmentação de rede e o monitoramento de tráfego de saída são medidas críticas para detectar atividades de comando e controle.
Perguntas frequentes
Qual é o objetivo do GhostShell? Comprometer operações de drones e cadeia de suprimentos de defesa ucraniana.
Como o malware se comunica? Usa TLS mútuo e canais do Telegram como dead-drop.
Quais são os indicadores de comprometimento? Arquivos RAR suspeitos, scripts VBS de inicialização e certificados mTLS específicos.