Um novo trojano de acesso remoto (RAT) denominado PHANTOMPULSE tem chamado a atenção da comunidade de segurança por sua abordagem avançada para comprometer sistemas Windows. O malware é a carga útil final de uma cadeia de ataque mais ampla conhecida como REF6598, um cluster de ameaças que visa ativamente o setor de criptomoedas. O que torna o PHANTOMPULSE particularmente perigoso é como ele encadeia múltiplas técnicas avançadas para evadir a maioria das ferramentas de segurança.
Descoberta e escopo
Analistas do Elastic Security Labs identificaram e documentaram o PHANTOMPULSE em um relatório detalhado de engenharia reversa compartilhado com a Cyber Security News. De acordo com o relatório, o implante carrega três técnicas separadas de injeção de processo, um canal de comando e controle (C2) baseado em blockchain e um método de bypass de UAC que eleva privilégios silenciosamente sem disparar alertas de segurança padrão.
O malware também mostra fortes sinais de desenvolvimento assistido por IA, visíveis em suas strings de depuração internas incomumente verbosas e cuidadosamente estruturadas. O cluster de ameaças por trás do PHANTOMPULSE alinha-se de perto com grupos ligados à Coreia do Norte, como Lazarus, BlueNoroff e UNC5342, também conhecido como Contagious Interview.
Vetor e exploração
O ataque começa quando as vítimas são alvo através do abuso de plugins Obsidian, uma ferramenta popular entre desenvolvedores e pesquisadores. Uma vez estabelecido um ponto de apoio, um carregador em memória chamado PHANTOMPULL deposita o implante PHANTOMPULSE no sistema comprometido. A partir desse ponto, o RAT assume o controle, estabelecendo persistência, evadindo detecção e abrindo um canal de comunicação de volta para seus operadores.
O PHANTOMPULSE vem com três métodos de injeção distintos, cada um projetado para um tipo de carga útil diferente. O shellcode é injetado usando uma técnica chamada PhantomInject, que sobrescreve um DLL legítimo do Windows chamado dbghelp.dll em vez de alocar nova memória executável. Isso faz com que o thread injetado pareça viver dentro de um arquivo Windows confiável, ajudando-o a evadir scanners de memória.
Para cargas úteis executáveis, o malware usa um método chamado DbgNexum, que foi retirado diretamente de um proof-of-concept público publicado no GitHub em janeiro de 2026. Ele dirige a execução através da API de Depuração do Windows uma exceção de cada vez, para que nenhuma escrita direta de memória no processo alvo seja necessária.
Impacto e alcance
O foco do malware em carteiras de criptomoedas, o direcionamento multiplataforma através de Windows e macOS e o uso do Telegram como canal de fallback correspondem aos padrões conhecidos desses clusters norte-coreanos. Esses sinais apontam coletivamente para um ator de ameaças maduro e bem financiado operando em múltiplos mercados regionais.
Organizações no setor de cripto são fortemente aconselhadas a monitorar tarefas agendadas suspeitas, especialmente aquelas que executam sob o caminho do Framework .NET do Microsoft Windows. As equipes de segurança também devem observar o rundll32.exe executando com argumentos incomuns e sinalizar qualquer manipulação baseada em breakpoints de hardware com APIs de segurança do Windows.
Medidas de mitigação recomendadas
O Elastic lançou regras de detecção YARA sob o identificador Windows.Trojan.PhantomPulse para apoiar caçadores de ameaças. A defesa deve focar na detecção de injeção de processo em DLLs legítimas e monitoramento de atividades de UACME. A análise de tráfego de rede para conexões blockchain incomuns também é crucial, dado o uso do blockchain para resolução de C2.
Perguntas frequentes
Como o PHANTOMPULSE se comunica? Ele usa um canal C2 baseado em blockchain, lendo transações de carteiras específicas em Ethereum, Base e Optimism.
É possível mitigar o bypass de UAC? Sim, monitorando tarefas agendadas e chamadas de API de elevação de privilégio incomuns.
Indicadores de comprometimento (IoCs)
SHA-256: 99dacf9f87ba3c1248718e3c6836c8a3b8bed38ba1d8fe3b3bde8378fb77e670 (PHANTOMPULSE RAT). SHA-256: 36bbb97b36f1d9748fdd7448deaa93b9b97d98b3fb44d87a3c848dad5ba91b34 (syncobs.exe). Domínio: panel.feea8679.net. Carteira Crypto: 0xc778d9f2ab3c97a6bdd69ef6b9a28f8cd3dbc6d.