João Miguel Mesquita
A Check Point alertou para uma campanha avançada de ciberespionagem que está a visar organismos governamentais, sobretudo no Sudeste Asiático, mas com actividade também identificada na Europa. A operação, conhecida como Silver Dragon, está ativa pelo menos desde meados de 2024 e apresenta indícios técnicos que apontam para um ator associado ao ecossistema APT41, um conjunto de grupos de ameaça frequentemente ligado a interesses chineses.
De acordo com a investigação da Check Point Research, a campanha combina exploração de servidores expostos à Internet, ataques de phishing direccionados e malware desenvolvido especificamente para a operação. A escolha das vítimas e os métodos utilizados indicam que o objetivo principal não é financeiro, mas sim a recolha prolongada de informação estratégica.
Os investigadores identificaram duas vias principais de acesso inicial às redes das organizações visadas. Por um lado, os criminosos exploram servidores públicos com vulnerabilidades conhecidas. Por outro, recorrem a campanhas de phishing dirigidas, nas quais são enviados documentos maliciosos que simulam comunicações oficiais. Alguns desses documentos foram concebidos para parecer correspondência institucional dirigida a entidades governamentais no Uzbequistão.
Depois de conseguirem acesso inicial aos sistemas, os criminosos instalam loaders personalizados, designados BamboLoader e MonikerLoader. Estas ferramentas funcionam como um primeiro estágio do ataque e acabam por descarregar como carga final os chamados beacons do Cobalt Strike, uma framework amplamente utilizada em operações ofensivas para manter controlo remoto sobre sistemas comprometidos.
Uma das características técnicas que mais preocupa os investigadores é a forma como os criminosos conseguem manter persistência nos sistemas comprometidos.
Em vez de criar serviços claramente maliciosos, a campanha Silver Dragon sequestra serviços legítimos do Windows e recria-os para executar código malicioso com nomes aparentemente normais. Entre os serviços utilizados estão componentes associados ao Windows Update, Bluetooth Update, .NET ClickOnce ou sincronização de fuso horário.
Ao reutilizar nomes e funções que fazem parte do funcionamento normal do sistema operativo, o malware consegue misturar-se com a atividade legítima da máquina. Em ambientes governamentais ou organizacionais de grande dimensão, onde existem milhares de processos e serviços ativos, esta técnica torna a detecção significativamente mais difícil.
Um backdoor que comunica através do Google Drive
No centro da operação está o GearDoor, um backdoor desenvolvido em .NET que utiliza o Google Drive como canal de comando e controlo.
Cada sistema comprometido cria uma pasta própria na plataforma cloud, onde envia sinais periódicos de atividade e recebe instruções disfarçadas em ficheiros com extensões aparentemente benignas, como .png, .cab, .rar ou .pdf. Este modelo baseado em ficheiros permite que a comunicação com os criminosos seja confundida com utilização normal de serviços cloud.
A utilização de plataformas amplamente confiáveis como canal de comunicação tornou-se uma tendência crescente em operações de ciberespionagem avançada. Ao recorrer a serviços SaaS comuns nas organizações, o tráfego malicioso torna-se muito mais difícil de distinguir do tráfego legítimo.
Além do GearDoor, os investigadores identificaram outras ferramentas utilizadas na campanha. Uma delas é o SilverScreen, um implante que captura capturas de ecrã apenas quando deteta alterações visuais relevantes. Este comportamento permite aos criminosos monitorizar sistemas durante longos períodos sem gerar volumes excessivos de dados ou impacto percetível no desempenho.
Outra ferramenta, designada SSHcmd, facilita a execução remota de comandos e a transferência de ficheiros através do protocolo SSH, permitindo aos criminosos manter controlo operativo sobre os sistemas comprometidos.
A combinação destas ferramentas sugere uma estratégia de permanência prolongada nas redes comprometidas, com recolha contínua de informação ao longo do tempo.
A análise técnica realizada pela Check Point Research encontrou vários indicadores que apontam para uma possível ligação ao universo APT41. Entre esses sinais estão semelhanças em scripts de instalação, padrões de persistência e métodos de desencriptação utilizados no malware.
Para as organizações públicas e para entidades que operam infraestruturas críticas, esta campanha reforça uma tendência já observada nos últimos anos.
Serviços legítimos do sistema operativo e plataformas cloud amplamente utilizadas podem ser convertidos em canais encobertos para operações de comando e controlo. Isto significa que a simples confiança em domínios conhecidos ou em componentes do próprio sistema operativo já não é suficiente como critério de segurança.
Assim sendo, os investigadores defendem que a proteção passa por atualizações rápidas de servidores expostos à Internet, reforço da segurança de correio eletrónico e maior capacidade de monitorização de alterações em serviços do Windows. A visibilidade sobre tráfego cloud, mesmo quando proveniente de plataformas amplamente utilizadas nas organizações, torna-se igualmente um elemento crítico para detetar este tipo de atividade.
Para a Check Point, importa cuidar da proteção contra campanhas desta natureza depende cada vez mais de uma abordagem integrada, que combine inteligência de ameaças em tempo real, análise comportamental e capacidade de correlação entre rede, endpoints, email e serviços cloud.
Check Point, Silver Dragon, ciberespionagem, APT41, Google Drive
