Resumo
Pesquisadores identificaram uma campanha de spear‑phishing chamada "Operation Poseidon" que abusa da infraestrutura de anúncios do Google para distribuir variantes do trojan de acesso remoto EndRAT. O relatório da investigação aponta uso de redirecionamentos via ad.doubleclick.net, sites WordPress comprometidos como pontos de distribuição e arquivos LNK/AutoIt que carregam o malware em memória.
Descoberta e escopo
Analistas da Genians, citados em reportagem do Cyber Security News, documentaram a campanha após análise forense de scripts maliciosos com artefatos internos. A atividade foi atribuída ao grupo Konni APT, com foco reportado em organizações sul‑coreanas. Os atacantes utilizaram falsas identidades — entre elas organizações de direitos humanos norte‑coreanas e instituições financeiras — para engajar vítimas por e‑mail.
Vetor e cadeia de execução
O vetor primário é spear‑phishing: e‑mails com links que aparentam ser tráfego de publicidade legítima. Ao clicar, a vítima é redirecionada através do domínio de rastreamento de anúncios do Google (ad.doubleclick.net) até servidores comprometidos que hospedam arquivos ZIP maliciosos. Dentro dos ZIPs havia atalhos LNK que disparam scripts AutoIt falsamente apresentados como PDFs.
Técnicas de evasão usadas
- Mascaramento via infraestrutura de anúncios: URLs maliciosas são embutidas em parâmetros de links de anúncios para reduzir suspeição e contornar bloqueios básicos de URL/domínio.
- Ofuscação do conteúdo do e‑mail: grandes blocos de texto invisível (display:none) foram inseridos para confundir sistemas baseados em IA e filtros antispam.
- Web beacons 1×1: imagens transparentes que confirmam abertura do e‑mail e permitem aos operadores identificar endereços ativos.
- Distribuição via WordPress comprometido: sites legítimos invadidos serviram tanto como pontos de download quanto como infraestrutura de comando‑e‑controle, permitindo rápida rotatividade dos recursos maliciosos.
- Execução em memória: os scripts AutoIt carregam variantes do EndRAT diretamente em memória, reduzindo artefatos em disco e dificultando detecção por assinaturas tradicionais.
Evidências técnicas
Os pesquisadores localizaram strings únicas no código do malware, como "endServer9688" e "endClient9688", e caminhos internos de build que indicam a codinome operacional "Poseidon". Genians também correlacionou infraestrutura e padrões TTP que reforçam a ligação com o Konni APT.
Impacto esperado e limites das informações
O relatório descreve um vetor eficaz para vítimas corporativas que confiam em comunicações por e‑mail e em links de publicidade. Não há, contudo, dados públicos no texto fonte sobre número de vítimas identificadas, impacto financeiro ou exfiltração de dados confirmada. Também não há indicação direta de comprometimento de contas Google Ads por parte dos operadores — a técnica descreve abuso dos parâmetros de redirecionamento e de domínios de rastreamento.
Recomendações práticas
- Reforce treinamentos de phishing focados em spear‑phishing de alto risco que imitam organizações legítimas.
- Bloqueie ou inspeccione proativamente downloads de arquivos ZIP e executáveis vindo de links externos; analise arquivos LNK e scripts AutoIt em sandbox com monitoramento de comportamentos em memória.
- Implemente proteção avançada de e‑mail (DMARC, DKIM, SPF combinados com análise de comportamento) e regras contra redirecionamentos suspeitos em parâmetros de URL.
- Monitore acessos incomuns a endpoints web e valide integridade de sites WordPress internos; aplique patches, plugins confiáveis e detecção de arquivos alterados.
O que falta
O material público não apresenta contagem de vítimas nem provas de exfiltração final. Também não há declaração pública de Google sobre abuso específico desses parâmetros para essa campanha. As organizações devem assumir que a técnica é funcional e aplicar mitigação defensiva até que investigações adicionais tragam mais dados.
Fontes: Genians (relatório técnico citado) e Cyber Security News (síntese da investigação).