Descoberta e panorama
Pesquisadores identificaram uma campanha de RONINGLOADER que entrega uma versão modificada do gh0st RAT por meio de instaladores trojanizados NSIS. O alvo primário descrito nas fontes é o ecossistema de usuários na China: o malware tenta desativar o Windows Defender e produtos de segurança chineses como Qihoo 360 Total Security e Huorong, além de verificar a presença de Kingsoft Internet Security e Tencent PC Manager.
Vetor de infecção e cadeia de ataque
A infecção começa com um instalador falso que executa duas ações: um instalador instala o software legítimo para reduzir suspeitas, enquanto um segundo instalador implanta a cadeia de ataque. O malware cria um diretório em C:\Program Files\Snieoatwtregoable\ e deixa pelo menos dois artefatos nomeados Snieoatwtregoable.dll e um arquivo criptografado chamado tp.png.
Abordagem técnica
Segundo a análise, o DLL descriptografa tp.png usando uma rotina que combina uma operação XOR com uma rotação de bits (ROR), carrega bibliotecas de sistema frescas para remover hooks de segurança e eleva privilégios com runas antes de escanear processos por nomes específicos. Quando detecta produtos de segurança, RONINGLOADER recorre a um driver em modo kernel, ollama.sys, que estava digitalmente assinado por Kunming Wuqi E-commerce Co., Ltd.
O driver registra uma função que aceita um ID de processo e termina o processo usando APIs em nível kernel — operações que, conforme descrito, não são bloqueáveis por ferramentas de segurança em espaço de usuário. A cadeia escreve o driver no disco, cria um serviço temporário para carregá‑lo, envia o comando de terminação e elimina o serviço em seguida.
Métodos adicionais e evasão
Para o produto Qihoo 360, a campanha inclui passos extras: bloqueio de conexões de rede via regras de firewall e injeção de código no processo do serviço Volume Shadow Copy. A injeção é realizada usando thread pools do Windows com triggers de escrita de arquivo, técnica apontada nas fontes como forma de reduzir a detecção. As fontes também mencionam que a campanha tenta múltiplas rotas para garantir que, se um método falhar, outro seja tentado.
Detecção e indicadores
Analistas da Elastic Security detectaram o comportamento usando uma regra comportamental criada para identificar abuso de Protected Process Light (PPL) — um recurso do Windows pensado para proteger processos críticos. As fontes indicam que a técnica de abuso de PPL havia sido documentada publicamente alguns meses antes, e a equipe usou esse indicador comportamental para rastrear a atividade.
Impacto e alcance
As publicações descrevem a campanha como voltada a usuários na China e enfatizam o risco prático: a capacidade de encerrar processos de segurança em kernel reduz a eficácia de AVs e EDRs tradicionais em máquinas infectadas. Não há números públicos sobre contagem de vítimas, alcance por setor ou detecção em outros mercados; as fontes não detalham essas métricas.
Atribuição e evolução
As reportagens relacionam a campanha ao grupo conhecido como Dragon Breath APT, afirmando que os autores adaptaram aprendizados de campanhas anteriores. As fontes não apresentam provas técnicas públicas suficientes no texto para atribuição definitiva além dessa referência.
Limites das informações
As matérias consultadas não fornecem CVE, contagem de vítimas, nem indicadores de comprometimento (IOCs) completos no texto. Também não há detalhes sobre vetores de distribuição em larga escala além do uso de instaladores trojanizados NSIS.
O que muda para defensores
Do ponto de vista de detecção, o caso evidencia a necessidade de monitorar abuso de mecanismos do Windows como Protected Process Light e observar carregamento de drivers assinados por entidades incomuns. Elastic identificou a campanha por meio de regras comportamentais; as fontes destacam essa detecção como peça central da investigação.
Resumo
Em suma, RONINGLOADER combina instaladores trojanizados, rotinas de descriptografia (XOR+ROR), carregamento de bibliotecas limpas, elevação de privilégios e um driver assinado (ollama.sys) para terminar processos de segurança em nível kernel. A campanha mostra múltiplas técnicas de fallback e uso de injeção em serviços como Volume Shadow Copy para evitar detecção. Fontes consultadas: relatório público e análise de Elastic Security e matéria do veículo que documentou a descoberta.