A equipa da Check Point Research revelou a descoberta de uma operação sofisticada de ciberespionagem batizada de Silver Dragon. Ativa desde meados de 2024, esta campanha tem na sua mira diversas entidades governamentais e organizações do setor público, focando-se na Europa e no Sudeste Asiático. Os indícios recolhidos pelos especialistas apontam com grande confiança para um grupo com ligações à China, muito provavelmente integrado no conhecido ecossistema APT41.
Ao contrário dos habituais ataques que procuram lucros financeiros imediatos, o grande objetivo desta operação é a recolha estratégica de informações a longo prazo. Para entrar nos sistemas, os atacantes exploram servidores públicos que se encontram vulneráveis ou recorrem a campanhas de phishing muito específicas. Num dos casos identificados, utilizaram documentos com anexos maliciosos que simulavam comunicações oficiais direcionadas a entidades do governo no Uzbequistão. Uma vez lá dentro, recorrem a ferramentas personalizadas como o BamboLoader e o MonikerLoader para instalar a sua carga final, baseada na estrutura do Cobalt Strike.
A ameaça invisível nos serviços do Windows
Uma das características que mais tem preocupado os investigadores é a forma furtiva como o grupo garante a sua permanência nos computadores infetados. Em vez de criar processos novos que seriam facilmente detetados pelos antivírus, a campanha Silver Dragon sequestra serviços legítimos do Windows.
Ferramentas de sistema como a sincronização de fuso horário, o Windows Update ou a atualização de Bluetooth são recriadas para executar código malicioso, misturando-se de forma perfeita com as atividades normais do sistema operativo. Esta camuflagem torna a deteção da ameaça num verdadeiro desafio, especialmente nas grandes redes governamentais.
O papel do Google Drive no controlo das operações
O verdadeiro núcleo desta operação reside num backdoor desenvolvido em .NET, conhecido como GearDoor. A sua particularidade mais perigosa é o uso do Google Drive como canal principal para envio de comandos e extração de dados.
Quando um sistema é comprometido, o malware cria uma pasta específica na nuvem, onde envia ficheiros regulares para indicar que está ativo e recebe novas instruções. Para não levantar suspeitas, estes comandos chegam disfarçados com extensões de ficheiros perfeitamente comuns, como .pdf, .png ou .rar. Ao instrumentalizar uma plataforma com um nível de confiança tão elevado, o tráfego gerado pelo ataque confunde-se com a utilização diária e legítima da internet corporativa.
Vigilância contínua e as novas exigências de segurança
Para além do GearDoor, os piratas informáticos utilizam um sistema de monitorização chamado SilverScreen. Esta ferramenta apenas capta imagens do ecrã quando regista alterações visuais significativas, o que permite manter a vigilância durante longos períodos sem sobrecarregar o sistema. A acompanhar isto, o grupo recorre ainda ao SSHcmd para executar comandos à distância e transferir ficheiros de forma remota.
Segundo Sergey Shykevich, Threat Intelligence Group Manager da Check Point Software, esta operação demonstra uma evolução clara na ciberespionagem moderna, onde os atacantes tiram partido de múltiplas portas de entrada e se ocultam em plataformas que a maioria considera seguras. Para as organizações de setores críticos, o alerta é claro: já não basta confiar cegamente no tráfego da nuvem. É vital adotar atualizações rápidas dos servidores, aumentar a segurança do correio eletrónico, monitorizar alterações nos serviços do sistema e ter uma visibilidade total e integrada de toda a rede.
Nenhum comentário
Seja o primeiro!