Uma nova facção de ameaça persistente avançada (APT), batizada de Silver Dragon e vinculada ao notório grupo chinês APT41, está conduzindo campanhas de espionagem contra governos e organizações de alto perfil no Sudeste Asiático e na Europa. A operação, documentada pela Check Point Research, destaca-se pelo uso inovador do Google Drive como canal de comando e controle (C2), mascarando tráfego malicioso como atividade legítima de armazenamento em nuvem.
Infiltração e persistência
O Silver Dragon obtém acesso inicial explorando servidores públicos na internet ou através de e-mails de phishing com anexos maliciosos. Uma vez dentro da rede, o grupo implanta rapidamente beacons do Cobalt Strike para estabelecer controle sobre a máquina comprometida. A comunicação subsequente é realizada via tunelamento DNS, uma técnica que encapsula instruções maliciosas em tráfego de rede aparentemente normal, dificultando a detecção.
Os analistas identificaram três cadeias de infecção distintas, todas convergindo para a entrega do Cobalt Strike:
- Hijacking de AppDomain: Um arquivo de configuração malicioso é colocado ao lado de um binário legítimo do Windows, fazendo com que o carregador seja executado sempre que o binário é iniciado.
- Serviço Windows malicioso: Uma DLL maliciosa é registrada como um serviço do Windows usando nomes falsos como "Bluetooth Update" ou "Windows Update Service".
- Phishing com LNK: E-mails de phishing direcionados a entidades governamentais no Uzbequistão carregam anexos LNK (atalho) armados.
O backdoor GearDoor e o abuso do Google Drive
A ferramenta mais sofisticada do arsenal é o GearDoor, um backdoor escrito em .NET que utiliza uma conta do Google Drive como seu canal C2 principal. Em vez de se conectar a um servidor controlado pelo atacante, o malware cria uma pasta única no Drive para cada máquina infectada, usando um hash SHA-256 do nome do host como identificador.
A comunicação é totalmente baseada em uploads e downloads de arquivos, com a extensão do arquivo ditando a ação:
- .cab: Entrega comandos para execução.
- .pdf: Lida com tarefas de listagem de diretórios.
- .rar: Entrega novas cargas úteis ou aciona uma auto-atualização.
- .7z: Executa um plugin .NET na memória.
Após cada tarefa, o malware exclui o arquivo de entrada e faz upload de um arquivo de resultado com extensão .bak. Um arquivo de "batimento cardíaco" com extensão .png, contendo hostname, nome de usuário, endereço IP e versão do SO, é enviado periodicamente. Todos os dados trocados são criptografados usando o algoritmo DES.
Ferramentas personalizadas e atribuição
Além do Cobalt Strike, o grupo emprega ferramentas personalizadas para pós-exploração:
- SilverScreen: Captura silenciosamente screenshots de todos os monitores conectados em intervalos regulares.
- SSHcmd: Um wrapper SSH em .NET que permite a execução de comandos e transferência de arquivos sem logins interativos.
A atribuição ao APT41 é reforçada por fortes semelhanças entre os scripts de instalação do carregador do Silver Dragon e scripts documentados pela Mandiant em 2020 como parte do modus operandi do APT41. Timestamps de compilação consistentes com o fuso horário UTC+8 também apontam para uma origem de nexus chinês.
Implicações para a defesa
Esta campanha evidencia uma evolução na evasão, onde serviços de nuvem legítimos e amplamente utilizados são cooptados para fins maliciosos. Organizações, especialmente aquelas com presença nas regiões-alvo, devem:
- Monitorar padrões incomuns de upload automatizado para o Google Drive a partir de processos desconhecidos.
- Auditar serviços do Windows em busca de entradas que imitem nomes de componentes do sistema legítimos.
- Habilitar detecções para hijacking de AppDomain (T1574.014 da MITRE ATT&CK).
- Reforçar a conscientização sobre phishing para funcionários governamentais e de alto perfil.
- Bloquear e monitorar os domínios C2 e hashes de arquivo listados na pesquisa.
A tática de usar infraestrutura de terceiros confiáveis representa um desafio significativo para as defesas tradicionais baseadas em assinatura, exigindo uma maior ênfase na análise comportamental e no tráfego de saída para serviços em nuvem.