Relatório recente detalha a operação persistente do grupo ToddyCat, que tem alvo em servidores Microsoft Exchange e evoluído suas ferramentas desde 2020 para manter acesso e furtar dados.
Descoberta e escopo
De acordo com o levantamento publicado pelo Cyber Security News, o ToddyCat iniciou atividades em dezembro de 2020 com compromissos de servidores Exchange em Taiwan e Vietnã por meio de uma vulnerabilidade não identificada. Em fevereiro de 2021 o grupo passou a explorar a falha ProxyLogon, ampliando o alcance para organizações na Europa e na Ásia.
Vetor e técnicas de ataque
- Exploração de Exchange (incluindo ProxyLogon): utilizado para obter acesso inicial em servidores de e‑mail.
- Implantação de web shells e backdoors: China Chopper e Samurai são citados como componentes usados para estabelecer e manter acesso.
- Distribuição por canais alternativos: em 2021 houve uso de loaders via Telegram para atingir máquinas desktop.
Persistência e evasão
Analistas da Picus Security citados no relatório mostram que o ToddyCat emprega múltiplas técnicas para persistência e evasão, incluindo:
- Agendamento de tarefas que executam scripts PowerShell com flags de bypass (ex.:
powershell -exec bypass -command c445.ps1), permitindo execução contínua de coletores. - Uso da técnica "Bring Your Own Vulnerable Driver" (instalação do driver DBUtilDrv2.sys) para modificar estruturas de kernel.
- DLL side‑loading: versões maliciosas de bibliotecas legítimas redirecionam chamadas enquanto executam payloads ocultos.
Coleta de credenciais e exfiltração
O grupo realiza despejo de memória de navegadores para extrair senhas salvas (Chrome, Firefox, Edge) e busca tokens OAuth do Microsoft 365, o que amplia o alcance para recursos em nuvem. Os dados coletados são compactados com WinRAR e enviados por canais de comando e controle.
Impacto e setores afetados
O material descreve alvos variados e tratamento contínuo do grupo como ameaça de espionagem com foco em organizações de alto perfil. O relatório não lista vítimas brasileiras específicas nem números consolidados de comprometimentos.
Observações e recomendações
O relato demonstra adaptação contínua do grupo, com evolução técnica até 2024 (introdução de ferramentas como TCESB para explorar produtos de segurança). O texto original não apresenta um guia de mitigação detalhado; entretanto, as evidências apontam para a importância de patches em servidores Exchange, revisão de controles de autenticação, monitoramento de tarefas agendadas e detecção de carregamento atípico de drivers e bibliotecas.
Limitações
O artigo do Cyber Security News compila as capacidades do ToddyCat a partir de análises da Picus Security, mas não divulga indicadores técnicos completos na íntegra. Profissionais devem consultar os relatórios técnicos originais para IoCs e regras de detecção.