Descoberta e escopo
Pesquisadores da Acronis identificaram a operação em junho de 2025, com evidências indicando atividade anterior. A infraestrutura operacional usa U.S.‑registered shell companies para adquirir certificados digitais EV e assinar instaladores maliciosos, permitindo que os binários pareçam legítimos e ultrapassem controles de segurança baseados em assinatura.
Vetores de distribuição
Os alvos chegam ao instalador por meio de malvertising e otimização de mecanismos de busca: sites controlados pelos atacantes surgem entre resultados e anúncios quando usuários procuram por leitores de manuais, editores de PDF ou ferramentas especializadas. Cerca de 80% das detecções concentram‑se nos EUA, mas a infraestrutura é global e tem alcance amplo.
Chain de infecção e persistência
O instalador falso coloca um arquivo task.xml (ex.: em %APPDATA%\Programs\[Fake Application Name]) e cria uma tarefa agendada usando o comando:
schtasks /Create /tn "Scheduled Daily Task" /xml "%APPDATA%\Local\Programs\AnyProductManual\task.xml"A tarefa executa imediatamente e repete a cada 24 horas com atraso randômico de até 30 minutos. O payload é um JavaScript fortemente ofuscado (obfuscator.io) que age como backdoor e se comunica com servidores de C2 via HTTPS, transmitindo JSONs cifrados e permitindo execução remota de comandos.
Operação de assinatura e resiliência
Quando um certificado é revogado, os operadores usam novas empresas de fachada com nomes genéricos (ex.: "Digital Marketing") para adquirir outros EV e reiniciar a cadeia de distribuição. A infraestrutura utiliza registrador NameCheap com proteção de privacidade e períodos de registro de um ano, facilitando reconstrução rápida após derrubes.
Alvos e setores
Setores com maior incidência: healthcare, construction e manufacturing — provavelmente porque usuários dessas indústrias frequentemente buscam manuais e ferramentas especializadas online. A operação gera executáveis assinados que aumentam a probabilidade de execução em ambientes corporativos com políticas de bloqueio baseadas em reputação ou assinatura.
Mitigações práticas
- bloquear instaladores e binários não gerenciados via inventário de software e políticas de Application Control (MDM/MDM/UEM, AppLocker/WDAC);
- monitorar criação de tarefas agendadas e presença de arquivos task.xml em %APPDATA% e diretórios temporários;
- implementar inspeção de downloads e reputação de domínio para reduzir exposição a malvertising e sites maliciosos;
- revisar processo de aceitação de assinaturas EV e considerar controles adicionais (verificação de identidade do signer, telemetria de cadeia de certificados) para binários executados em sistemas críticos.
Observações
A operação mostra um modelo industrializado: compra de EV por empresas descartáveis, distribuição via SEO/malvertising e uso de ofuscação para dificultar análise. As fontes não fornecem um número agregado de vítimas, mas documentam padrões, artefatos e domínios usados.