Uma refinaria de petróleo líbia, uma organização de telecomunicações e uma instituição estatal foram vítimas de uma campanha coordenada de espionagem entre novembro de 2025 e fevereiro de 2026. Os ataques entregaram o AsyncRAT, um Trojan de acesso remoto de código aberto com histórico documentado de uso por grupos de ameaças patrocinados por estados, levantando preocupações imediatas sobre a segurança da infraestrutura crítica da Líbia.
Descoberta e escopo da campanha
Os pesquisadores da Symantec identificaram a campanha após uma análise forense de redes comprometidas, onde descobriram documentos isca vinculados a eventos políticos líbios. Um documento foi intitulado "Leaked CCTV footage – Saif al-Gaddafi’s assassination.gz", capitalizando o assassinato de Saif al-Gaddafi, o segundo filho do ex-líder Muammar Gaddafi, ocorrido em 3 de fevereiro de 2026. A natureza direcionada dessas iscas deixou claro que os atacantes tinham especificamente mirado organizações líbias.
Arquivos no VirusTotal sugerem que esta campanha pode ter começado tão cedo quanto abril de 2025, com vários arquivos com nomes temáticos da Líbia apontando para um esforço de direcionamento de longo prazo e focado. O ator da ameaça é acreditado ter mantido acesso persistente à rede da empresa de petróleo de novembro de 2025 até meados de fevereiro de 2026, com atividade adicional registrada em dezembro de 2025, revelando a intenção clara de manter um ponto de apoio silencioso para coleta de inteligência.
Impacto geopolítico e setorial
O setor de energia da Líbia tornou-se cada vez mais significativo, com o país registrando uma produção de petróleo de 1,37 milhão de barris por dia no ano passado — sua maior em cerca de 12 anos. Em um cenário de conflito na região do Golfo e temores de que os preços do petróleo subam acima de US$ 200 por barril, atacar uma refinaria líbia carrega um peso geopolítico claro. Conflitos no Estreito de Ormuz, por onde flui cerca de 20% do fornecimento global de petróleo, já desestabilizaram os mercados energéticos mundiais e chamaram a atenção para produtores de petróleo além do Irã.
Vetor de infecção e cadeia de comprometimento
A infecção começou com um e-mail de spear-phishing carregando um documento isca com tema local projetado para atrair a atenção do alvo. Um downloader VBS com um nome de arquivo politicamente relevante, como video_saif_gadafi_2026.vbs, também foi encontrado em máquinas afetadas e foi puxado do KrakenFiles, uma plataforma de hospedagem de arquivos baseada na nuvem, marcando o início de um comprometimento cuidadosamente escalonado em várias etapas.
Uma vez que o arquivo VBS foi executado, ele baixou um dropper PowerShell oculto sob o nome de arquivo image.png, que procedeu a criar uma tarefa agendada do Windows chamada "devil" a partir de um arquivo de configuração XML armazenado em C:\Users\Public\Music\Googless.xml. Esta tarefa garantiu que o dropper fosse executado em um tempo predeterminado, após o qual a tarefa foi excluída para remover vestígios visíveis de sua presença e evitar a detecção rotineira.
O AsyncRAT foi o payload final entregue após essa sequência, concedendo ao atacante controle remoto total sobre o sistema infectado. Ele poderia capturar digitação, tirar capturas de tela e executar comandos, enquanto sua natureza modular permitiu que o atacante empurrasse silenciosamente atualizações de capacidade sem interromper a operação em andamento.
Medidas de mitigação recomendadas
Organizações do setor de energia, juntamente com aquelas do governo e telecomunicações, devem reforçar as defesas contra spear-phishing treinando funcionários para reconhecer táticas de isca com temas políticos, especialmente aquelas vinculadas a eventos atuais. Equipes de segurança devem configurar regras de monitoramento para criação incomum de tarefas agendadas, especialmente tarefas vinculadas a arquivos XML colocados em diretórios acessíveis publicamente, pois isso espelha diretamente a abordagem de persistência usada nesta campanha.
A execução de arquivos VBS e outros arquivos de script de fontes não confiáveis ou externas deve ser restringida, e o uso do PowerShell deve ser limitado a processos autorizados e monitorados para cortar este tipo de entrega de dropper em várias etapas. A implantação de ferramentas de detecção de endpoint que possam identificar os padrões comportamentais do AsyncRAT — como keylogging não autorizado, atividade de captura de tela e conexões de comando e controle de saída — é essencial para qualquer organização que opere em um setor de alto risco.
O que os CISOs devem fazer imediatamente
Os profissionais de segurança devem revisar os logs de tarefas agendadas em busca de nomes suspeitos como "devil" e verificar a existência de arquivos XML em diretórios públicos. A auditoria de scripts VBS e PowerShell em endpoints é crítica. Além disso, a conscientização sobre eventos políticos locais deve ser integrada aos treinamentos de segurança para evitar a engenharia social baseada em contexto.