Descoberta e escopo
Relatórios públicos citam investigação de analistas do Google Cloud que associam as campanhas a um ator rastreado como UNC1549. As ações se estendem desde o final de 2023 até 2025, com foco em terceiros e fornecedores que mantêm relações de confiança com contratantes de defesa — perfis que os atacantes consideram alvos mais acessíveis para obter acesso inicial.
Vetor inicial e técnicas de intrusão
A tática primária documentada combina phishing altamente direcionado, construído com conteúdo relevante para as funções das vítimas, com abuso de relações de confiança entre alvo primário e fornecedores. O grupo também explora sistemas internos de ticketing para colher credenciais e usa lookalike domains e campanhas de spear‑phishing que se beneficiam de artefatos extraídos dos próprios alvos, incluindo código‑fonte arrebatado durante operações prévias.
Uma técnica de destaque é o uso de DLL search order hijacking para persistência: os atacantes colocam DLLs maliciosas em diretórios de instalação de software legítimo, de forma que a execução rotineira do aplicativo carregue o binário comprometido. Fontes citam exploração desse padrão em executáveis de fornecedores amplamente usados, incluindo FortiGate, VMware, Citrix, Microsoft e NVIDIA.
Ferramentas e pós‑exploração
O conjunto de ferramentas do grupo inclui backdoors customizados e um componente chamado TWOSTROKE, descrito como um backdoor em C++ que se comunica via conexões TCP criptografadas por SSL na porta 443. O malware gera um identificador único do host vítima a partir do nome DNS totalmente qualificado, aplica uma operação XOR com chave estática, converte para hexadecimal e manipula os primeiros bytes para construir um bot ID — detalhes que demonstram engenharia deliberada para evadir detecção.
Pesquisadores observaram que amostras pós‑exploração apresentam hashes únicos mesmo quando variantes idênticas aparecem na mesma rede, sinalizando elevado grau de customização por vítima. O canal de comando e controle recebe payloads codificados em hexadecimal com comandos separados por delimitadores específicos como “@##@”, cobrindo ações que vão do upload de arquivos à execução de comandos shell e carregamento dinâmico de DLLs.
Persistência, latência operacional e evasão
UNC1549 prioriza persistência de longo prazo: backdoors ficam dormentes por meses e apenas reativam após tentativas de remediação, estratégia que complica resposta e forense. A operação faz uso extensivo de reverse SSH shells e domínios que mimetizam indústrias das vítimas, aumentando a chance de tráfego parecer legítimo.
Impacto e setores afetados
As vítimas documentadas são organizações de aeroespacial, aviação e defesa — setores com alto valor de propriedade intelectual e credenciais sensíveis. O modus operandi, centrado em comprometer fornecedores, amplia o alcance potencial das campanhas: um único fornecedor comprometido pode dar acesso a múltiplos contratantes ou integradores.
Limites das informações
As fontes descrevem técnicas, ferramentas e vetores, mas não fornecem contagens públicas de vítimas ou listas nominais de empresas afetadas. Também não há nos relatos um attribution técnico conclusivo além das análises de infraestrutura e TTPs coletadas por analistas do Google Cloud; as fontes não detalham provas públicas que vinculem diretamente atores estatais específicos.
Recomendações práticas
- Fortalecer proteções contra phishing com validação de inbound e controles de segurança para fornecedores;
- monitorar integridade de diretórios de instalação de software e detectar carregamentos dinâmicos de DLL incomuns;
- implementar detecção de anomalias em TLS/SSL sobre porta 443 e revisar logs de acesso remoto/SSH reverso;
- priorizar revisões de cadeias de fornecimento e segmentação de rede para limitar movimentos laterais.
As fontes consultadas não apresentam estimativas numéricas de vítimas, tampouco um inventário público dos artefatos IOCs que permitam atribuição automatizada; as equipes de defesa devem, portanto, tratar os indicadores divulgados como pontas de investigação e correlacioná‑los com telemetria interna.