Hack Alerta

Campanha usa atalhos .lnk para distribuir RAT MoonPeak contra Windows

Por Redação Hack Alerta Publicado em 23/01/2026 18:03 Cyber ataques Tempo de leitura: 3 min

Pesquisadores documentaram uma campanha que usa atalhos .lnk com PDFs isca para distribuir o RAT MoonPeak em Windows. A cadeia inclui PowerShell ofuscado, carregamento em memória a partir de repositórios GitHub e comunicação com C2 em 27.102.137[.]88:443. O alvo principal parece ser investidores sul‑coreanos.

Resumo

Analistas do IIJ Security Diary documentaram uma campanha que usa arquivos .lnk maliciosos para distribuir o RAT MoonPeak (variante de XenoRAT) em sistemas Windows. O ataque emprega um PDF decoy embutido em atalhos LNK e uma cadeia de execução em múltiplas etapas que inclui PowerShell ofuscado e carregamento de payloads hospedados no GitHub.

Vetor e fluxo de infecção

Os arquivos de ataque são atalhos (.lnk) com nomes em coreano que sugerem conteúdo sobre estratégias de investimento; ao serem abertos, exibem um PDF legítimo (XOR‑codificado) como isca. Simultaneamente, um script PowerShell ofuscado roda em janela oculta, executando uma sequência de estágios para persistência e entrega do payload final.

Estágios técnicos observados

  • Detecção de análise: o LNK verifica processos típicos de análise (IDA Pro, Wireshark, OllyDbg, sandboxes) e aborta se detectar ambiente de pesquisa.
  • Persistência: criação de pastas e arquivos com nomes aleatórios em %TEMP% e registro de tarefa agendada para execução automática.
  • Carregamento em memória: segundo o relatório, o estágio intermediário recupera um payload GZIP hospedado em repositório GitHub, que é descomprimido e carregado diretamente em memória.
  • Implantação do RAT: o MoonPeak final é ofuscado com ConfuserEx; comunica com servidor de comando e controle em 27.102.137[.]88:443.

Alvo e atribuição

Os indicadores contextuais apontam que a campanha mira investidores sul‑coreanos e traders de criptomoedas, usando títulos em coreano como isca. A análise relaciona a família a atores com vínculos à Coreia do Norte, embora a matéria descreva essa ligação com cautela e não forneça uma atribuição técnica detalhada que consolide a origem com 100% de certeza.

Uso de infraestrutura legítima

Os pesquisadores destacam o uso de repositórios do GitHub para hospedar artefatos maliciosos — técnica conhecida como Living Off Trusted Sites (LOTS). O aproveitamento de plataformas legítimas dificulta a detecção e bloqueio por controles baseados em domínio.

Recomendações

  • Bloquear execução automática de atalhos .lnk em endpoints sensíveis quando possível e restringir execução de scripts não assinados.
  • Monitorar criação de tarefas agendadas e atividade suspeita em pastas temporárias.
  • Implementar detecção de carregamento em memória e anomalias de rede para comunicação com C2 (bloquear IPs/indicadores quando confirmados por operações).
  • Educar usuários finais sobre iscas que se apresentam como documentos financeiros/relatórios.

Limitações e lacunas

A análise pública documenta o fluxo técnico e o C2 observado, mas não quantifica número de vítimas ou sucesso da campanha. Falta uma lista pública de artefatos (hashes, domínios adicionais) no resumo consultado; organizações devem tratar os indicadores divulgados como ponto de partida e complementar com telemetria própria.

Fonte: IIJ Security Diary — compilado pela Cyber Security News (reportagem de Tushar Subhra Dutta).
Baseado em publicação original de Cyber Security News
Tags: #moonpeak #lnk #rat #windows #powershell #gitub #lots #obfuscacao #malware
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar