Um novo framework de malware descoberto está levantando sérios alarmes na comunidade de cibersegurança. Pesquisadores identificaram uma ferramenta anteriormente desconhecida chamada TencShell, uma ferramenta sofisticada capaz de fornecer controle remoto total sobre um sistema comprometido.
A descoberta destaca como os atores de ameaças estão repurposing silenciosamente ferramentas ofensivas publicamente disponíveis para realizar intrusões direcionadas com muito menos esforço do que antes.
Descoberta e escopo do ataque
O TencShell foi encontrado em implantação ativa contra uma empresa de manufatura global com operações regionais espalhadas por vários países. O ataque foi interceptado no site da empresa na Índia e rastreado até um usuário de terceiros com uma conexão legítima ao ambiente interno do cliente.
Os atacantes exploraram esse acesso confiável como uma ponte, efetivamente transformando uma relação comercial rotineira em um ponto de entrada perigoso e altamente capaz. Analistas da Cato Networks identificaram a intrusão suspeita em abril de 2026 e a bloquearam antes que o atacante pudesse estabelecer controle remoto duradouro.
Sua investigação revelou uma cadeia de ataque cuidadosamente construída envolvendo payloads em estágios, tipos de arquivos mascarados e comunicação de comando e controle especificamente projetada para se misturar ao tráfego web normal. O vetor de infecção inicial permanece desconhecido, mas provavelmente envolveu phishing, um download malicioso ou outro método de entrega baseado na web.
Capacidades técnicas e vetores de ataque
O TencShell é derivado do Rshell, um framework de código aberto projetado para uso de segurança ofensiva multiplataforma. O ator de ameaças o personalizou e reembalou, adicionando padrões de comunicação que imitam de perto o tráfego de API estilo Tencent para fazer solicitações maliciosas parecerem atividade de aplicativo ordinária.
O nome combina "Tenc" para esses caminhos C2 estilo Tencent e "Shell" para seu comportamento central de acesso remoto. A preocupação mais ampla vai além deste incidente único. Os atacantes não precisam mais de pipelines de desenvolvimento de malware personalizados para realizar uma intrusão sofisticada.
Adaptar frameworks ofensivos de livre acesso é muitas vezes suficiente para construir uma ferramenta capaz e difícil de detectar, e essa realidade reduz a barreira para uma gama muito maior de atores de ameaças. O TencShell funciona como um framework de operador completo, e suas capacidades se estendem muito além da execução básica de comandos.
Módulos de código recuperados confirmam que o implant suporta captura de tela, streaming de tela ao vivo via WebSocket e simulação de teclado e mouse em tempo real. Funções como SendInput, MouseClick, KeyTap e GetScreenWebSocket foram incorporadas à ferramenta, dando a um operador controle interativo direto de um host infectado.
Acesso a artefatos de navegador e bypass de UAC
O implant também inclui rotinas dedicadas para acessar artefatos de navegador tanto do Chrome quanto do Microsoft Edge. Os opcodes recuperados confirmam operações para ler e limpar sessões salvas, dados de login e cookies de ambos os navegadores.
Isso cria um caminho direto para roubo de credenciais e sequestro de sessão para qualquer organização onde o TencShell tomar posse. Um módulo de bypass de UAC, documentado sob o opcode UAC_BYPASS, permite que o atacante obtenha privilégios elevados sem disparar o prompt de segurança padrão do Windows.
Combinado com proxy SOCKS5, carregamento de DLL, transferência de arquivos e persistência através de uma chave de execução de registro disfarçada como "OneDriveHealthTask", o TencShell é construído para acesso furtivo de longo prazo em vez de um smash-and-grab rápido.
Cadeia de infecção e método de entrega
O ataque seguiu um padrão de entrega em múltiplos estágios claro. Um dropper de primeira etapa leve foi executado após o acesso inicial, projetado para permanecer pequeno e puxar silenciosamente o próximo payload enquanto usa um User-Agent falso para misturar solicitações de saída no tráfego normal.
O dropper então recuperou o que parecia ser um arquivo de fonte web padrão com uma extensão .woff, o tipo de arquivo que os sites usam rotineiramente para carregar tipos personalizados. Dentro desse arquivo estava o shellcode Donut, uma ferramenta de código aberto capaz de carregar payloads do Windows diretamente na memória, contornando a necessidade de escrever qualquer coisa no disco.
Este disfarce ajuda a solicitação a parecer uma busca de ativo de navegador rotineira em vez de uma operação de entrega de malware. Após a recuperação, o shellcode foi carregado em uma região de memória, marcado como executável e lançado através de uma nova thread dentro do processo de origem.
O Donut então mapeou refletivamente o TencShell na memória, completando a cadeia e preparando o implant para comunicação ativa de comando e controle. As equipes de segurança são aconselhadas a sinalizar solicitações de saída incomuns para endpoints desconhecidos, caminhos .woff inesperados fora do contexto normal do navegador e entradas de autorun desconhecidas no Registro do Windows.
Indicadores de comprometimento e mitigação
Os indicadores de comprometimento (IoCs) incluem endereços IP de infraestrutura C2 controlada pelo atacante, domínios de C2 e hashes SHA256 de amostras de malware relacionadas ao TencShell. As equipes devem monitorar solicitações de saída para endpoints desconhecidos e verificar entradas de registro de autorun.
Recomenda-se que as equipes de segurança isolem todas as máquinas afetadas e os runners de CI/CD antes de revogar quaisquer tokens. Os arquivos de persistência e os serviços de segundo estágio devem ser removidos primeiro. Após a limpeza, as equipes devem girar tokens do GitHub, tokens do npm, credenciais da AWS, contas de serviço do Kubernetes, tokens do Vault e chaves SSH.
Os desenvolvedores também devem revisar repositórios para commits autorizados como "claude@users.noreply.github.com" e procurar por branches inesperados semelhantes ao Dependabot que não correspondem aos padrões de automação normais. A remoção completa da persistência é crítica antes de girar credenciais para evitar acionar o comando de limpeza destrutiva.
Conclusão e recomendações para CISOs
O TencShell representa uma evolução significativa na tática de ataque, demonstrando como ferramentas ofensivas públicas podem ser rapidamente adaptadas para fins maliciosos. A capacidade de bypass de UAC e o acesso a artefatos de navegador tornam esta ameaça particularmente perigosa para ambientes corporativos.
Os CISOs devem priorizar a monitoração de tráfego de saída incomum, a verificação de integridade de arquivos e a revisão de permissões de usuário de terceiros. A implementação de soluções de detecção de comportamento e a aplicação rigorosa de políticas de menor privilégio são essenciais para mitigar o risco desta ameaça.
Perguntas frequentes
Qual é o principal vetor de ataque do TencShell? O vetor de infecção inicial permanece desconhecido, mas provavelmente envolveu phishing, um download malicioso ou outro método de entrega baseado na web.
Como o TencShell se diferencia de outros malwares? O TencShell é derivado do Rshell e usa padrões de comunicação que imitam o tráfego de API estilo Tencent, tornando-o difícil de detectar.
Quais são as recomendações imediatas para mitigação? Isolar máquinas afetadas, remover persistência, girar credenciais e monitorar solicitações de saída incomuns.