Hack Alerta

Operation DreamJob: oferta por WhatsApp Web usada para invadir indústria

Por Redação Hack Alerta Publicado em 21/11/2025 16:02 Cyber ataques Tempo de leitura: 3 min

Operation DreamJob usou WhatsApp Web para enviar um ZIP que sideloadou uma DLL maliciosa via SumatraPDF; análise da Orange Cyberdefense liga a campanha ao UNC2970 e descreve BURNBOOK/MISTPEN, pass-the-hash e exfiltração.

Uma campanha de intrusão identificada como Operation DreamJob utilizou mensagens direcionadas via WhatsApp Web para entregar um pacote que sideloadou bibliotecas maliciosas e abriu caminho para backdoors e exfiltração em ambiente industrial.

Sequência de ataque e vetor

O incidente documentado ocorreu em agosto de 2025 e visou uma subsidiária asiática de um grande grupo europeu do setor de manufatura. O ataque começou quando um engenheiro recebeu uma mensagem no WhatsApp Web contendo um ZIP que incluía um PDF malicioso, o executável legítimo SumatraPDF.exe e uma DLL maliciosa libmupdf.dll. Ao abrir o PDF, o SumatraPDF sideloadou a DLL maliciosa, que foi identificada como variante do loader BURNBOOK.

Persistência e movimentação lateral

Pesquisadores da Orange Cyberdefense atribuem a intrusão, com confiança média, ao cluster UNC2970 (associação à Coreia do Norte). Após a execução inicial, os atores executaram consultas LDAP em Active Directory para mapear usuários e máquinas, extraíram NTLM hashes e usaram técnicas de pass-the-hash para comprometer contas administrativas e de backup.

Payloads e objetivos

Os operadores implantaram o backdoor MISTPEN (TSVIPsrv.dll) que descriptografou e executou um módulo em memória (wordpad.dll.mui) para se comunicar com servidores SharePoint comprometidos usados como C2. Em estágio final, um módulo chamado Release_PvPlugin_x64.dll atuou como componente de furto de informação para exfiltrar dados sensíveis.

Duração e atividades observadas

Os atacantes mantiveram acesso persistente por pelo menos seis horas, com atividades de hands-on-keyboard documentadas durante esse período. A infraestrutura de C2 incluiu servidores comprometidos em plataformas como SharePoint e WordPress para orquestração e comunicações.

Mitigações e recomendações

Organizações industriais devem reforçar a política de abertura de anexos recebidos via mensagens instantâneas, aplicar controles contra DLL sideloading, monitorar queries LDAP anômalas e proteger hashes NTLM com mitigadores (ex.: restringir contas com privilégios e aplicar proteção contra reutilização de hashes). Revisão de servidores SharePoint e detecção de conexões atípicas para hosts externos também foram recomendadas pelas fontes.

Limites das informações

O relatório descreve um caso específico e identifica atores com confiança média; não há declaração pública da vítima nem contagem agregada de organizações afetadas. As conclusões baseiam-se em análise técnica do artefato e da infraestrutura investigada.

Baseado em publicação original de Cyber Security News
Tags: #whatsapp #dll-sideloading #burnbook #mistpen #unc2970 #pass-the-hash #sharepoint #manufacturing #threat-intel
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar