A equipa de segurança da Google acaba de revelar detalhes sobre uma campanha de ciberespionagem sofisticada que tem operado nas sombras. O grupo de hackers APT24, com ligações à China, tem utilizado uma ferramenta até agora desconhecida, batizada de "BadAudio", para comprometer sistemas Windows durante os últimos três anos, demonstrando uma persistência e capacidade de adaptação alarmantes.
Segundo os investigadores do Google Threat Intelligence Group (GTIG), este grupo tem vindo a utilizar o malware desde 2022 através de múltiplos métodos, incluindo ataques de engenharia social e comprometimento da cadeia de fornecimento, conseguindo evitar a deteção pela maioria das soluções de segurança.
Evolução da campanha e ataque à cadeia de fornecimento
A operação do APT24 tem demonstrado uma evolução tática notável. Entre novembro de 2022 e setembro de 2025, os atacantes comprometeram mais de 20 sites legítimos públicos para injetar código JavaScript malicioso. O objetivo era identificar visitantes de interesse e exibir janelas falsas de atualização de software para os levar a descarregar o BadAudio. O foco destes ataques foi exclusivamente direcionado para sistemas Windows.
Um dos pontos mais críticos desta campanha ocorreu a partir de julho de 2024, quando o grupo comprometeu repetidamente uma empresa de marketing digital em Taiwan. Ao injetar código malicioso numa biblioteca JavaScript amplamente utilizada e ao registar um domínio que imitava uma Rede de Distribuição de Conteúdos (CDN) legítima, os hackers conseguiram comprometer mais de 1.000 domínios.
Mais tarde, entre o final de 2024 e julho de 2025, o grupo voltou a atacar a mesma empresa de marketing, desta vez modificando um ficheiro JSON que era carregado por scripts legítimos. Este método permitia recolher as "impressões digitais" de cada visitante e enviar relatórios codificados para os servidores dos atacantes, que decidiam então se valia a pena prosseguir com o ataque.
A engenharia por trás do BadAudio
O que torna o BadAudio particularmente perigoso é a sua engenharia focada na evasão e na dificuldade de análise. A Google explica que o malware utiliza técnicas avançadas de ofuscação, como o "control flow flattening", um método que desmantela a lógica estruturada do programa, transformando o código numa série de blocos desconexos que dificultam drasticamente a engenharia reversa.
Para se executar no sistema alvo, o BadAudio recorre a uma técnica conhecida como "DLL search order hijacking", que permite que uma aplicação legítima carregue o código malicioso. Uma vez ativo, o software recolhe detalhes básicos do sistema, encripta a informação e envia-a para um servidor de comando e controlo. Em alguns casos analisados, esta porta de entrada foi utilizada para instalar ferramentas de teste de penetração, como o Cobalt Strike Beacon.
Iscos emocionais e baixa taxa de deteção
Paralelamente aos ataques técnicos à infraestrutura web, o APT24 lançou campanhas de spearphishing a partir de agosto de 2024. Nestes casos, os hackers utilizavam iscos emocionais, fazendo-se passar por organizações de resgate de animais para convencer as vítimas a clicar em links ou descarregar ficheiros.
Em algumas variantes deste ataque, o grupo utilizou serviços de cloud legítimos, como o Google Drive e o OneDrive, para distribuir o malware, numa tentativa de contornar filtros de segurança baseados em reputação de domínios.
O sucesso desta campanha na manutenção do anonimato é evidente nos dados partilhados pelos investigadores. Das oito amostras de malware fornecidas no relatório, apenas duas eram detetadas como maliciosas por um número significativo de motores antivírus na plataforma VirusTotal. As restantes amostras, algumas com data de criação de dezembro de 2022, eram detetadas por apenas cinco ou menos soluções de segurança, sublinhando a eficácia das técnicas de ofuscação empregues pelo grupo.
Nenhum comentário
Seja o primeiro!