⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O cluster de atividades de ameaça conhecido como UnsolicitedBooker foi observado tendo como alvo empresas de telecomunicações no Quirguistão e no Tadjiquistão, marcando uma mudança em relação aos ataques anteriores direcionados a entidades da Arábia Saudita.
Os ataques envolvem a implantação de dois backdoors distintos, codinomes LuciDoor e MarsSnake, de acordo com um relatório publicado pela Positive Technologies na semana passada.
“O grupo utilizou vários instrumentos únicos e raros de origem chinesa”, disseram os pesquisadores Alexander Badaev e Maxim Shamanov.
UnsolicitedBooker foi documentado pela primeira vez pela ESET em maio de 2025, atribuindo o ator de ameaça alinhado à China a um ataque cibernético contra uma organização internacional não identificada na Arábia Saudita com um backdoor chamado MarsSnake. O grupo está avaliado como ativo desde pelo menos março de 2023 e tem um histórico de atingir organizações na Ásia, África e Médio Oriente.
Uma análise mais aprofundada do ator da ameaça revelou sobreposições táticas com dois outros grupos, incluindo os Piratas Espaciais e uma campanha ainda não atribuída visando a Arábia Saudita com outra porta dos fundos conhecida como Zardoor.
Descobriu-se que o último conjunto de ataques documentados pelo fornecedor russo de segurança cibernética tinha como alvo organizações do Quirguistão no final de setembro de 2025 com e-mails de phishing contendo um documento do Microsoft Office, que, quando aberto, instrui os destinatários a "habilitar conteúdo" para executar uma macro maliciosa.
Enquanto o documento exibe o plano tarifário de uma operadora de telecomunicações para a vítima, a macro secretamente descarta um carregador de malware C++ chamado LuciLoad que, por sua vez, entrega o LuciDoor. Outro ataque observado no final de novembro de 2025 adotou o mesmo modus operandi, só que desta vez usou um carregador diferente com o codinome MarsSnakeLoader para implantar o MarsSnake.
Ainda em janeiro de 2026, diz-se que o UnsolicitedBooker aproveitou e-mails de phishing como vetor para atingir empresas no Tajiquistão. Embora a cadeia geral de ataque permaneça a mesma, as mensagens incorporam links para os documentos falsos, em vez de anexá-los diretamente.
Escrito em C++, LuciDoor estabelece comunicação com um servidor de comando e controle (C2), coleta informações básicas do sistema e exfiltra os dados para o servidor em formato criptografado. Em seguida, ele analisa as respostas enviadas pelo servidor para executar comandos usando cmd.exe, gravar arquivos no sistema e fazer upload de arquivos.
Da mesma forma, o MarsSnake permite que invasores coletem metadados do sistema, executem comandos arbitrários e leiam ou gravem qualquer arquivo no disco.
A Positive Technologies disse que também encontrou sinais de que o MarsSnake foi usado em ataques contra a China. O ponto de partida é um atalho do Windows que se disfarça como um documento do Microsoft Word (*.doc.lnk) que aciona a execução de um script em lote para iniciar um script do Visual Basic, que então inicia o MarsSnake sem o componente carregador.
Acredita-se que o arquivo chamariz seja baseado em um arquivo LNK associado a uma ferramenta de pentesting disponível publicamente chamada FTPlnk_phishing, devido ao tempo de criação do arquivo LNK idêntico e aos indicadores de ID da máquina. É importante notar que um arquivo LNK semelhante foi usado pelo grupo Mustang Panda em ataques contra a Tailândia em 2022.
“Em seus ataques, o grupo utilizou ferramentas raras de origem chinesa”, disse a Positive Technologies. “Curiosamente, no início, o grupo usou um backdoor que apelidamos de LuciDoor, mas depois mudou para o backdoor MarsSnake. No entanto, em 2026, o grupo fez meia-volta e voltou a usar o LuciDoor.”
“Além disso, em pelo menos um caso, observamos os invasores usando um roteador hackeado como servidor C2, e sua infraestrutura imitou a da Rússia em alguns ataques”.
PseudoSticky e Cloud Atlas visam a Rússia
A divulgação ocorre no momento em que um ator de ameaça até então desconhecido está imitando deliberadamente as táticas de um grupo de hackers pró-ucraniano chamado Sticky Werewolf (também conhecido como Angry Likho, MimiStick e PhaseShifters) para atacar organizações russas nos setores de varejo, construção e pesquisa com malware como RemcosRAT e DarkTrack RAT para roubo abrangente de dados e controle remoto.
O novo grupo, conhecido como PseudoSticky, está ativo desde novembro de 2025. As vítimas são normalmente infectadas por e-mails de phishing contendo anexos maliciosos que levam à implantação de trojans. Há indicações de que o ator da ameaça confiou em grandes modelos de linguagem (LLMs) para desenvolver cadeias de ataque que eliminam o DarkTrack RAT via PureCrypter.
“Uma análise mais detalhada revela diferenças na infraestrutura, implementação de malware e elementos táticos individuais, levando-nos a suspeitar que provavelmente não há conexão direta entre os grupos, mas sim um mimetismo deliberado”, disse o fornecedor de segurança russo F6.
Entidades russas também foram alvo de outro grupo de hackers chamado Cloud Atlas, que usa e-mails de phishing contendo documentos maliciosos do Word para distribuir malware personalizado conhecido como V.
Os ataques envolvem a implantação de dois backdoors distintos, codinomes LuciDoor e MarsSnake, de acordo com um relatório publicado pela Positive Technologies na semana passada.
“O grupo utilizou vários instrumentos únicos e raros de origem chinesa”, disseram os pesquisadores Alexander Badaev e Maxim Shamanov.
UnsolicitedBooker foi documentado pela primeira vez pela ESET em maio de 2025, atribuindo o ator de ameaça alinhado à China a um ataque cibernético contra uma organização internacional não identificada na Arábia Saudita com um backdoor chamado MarsSnake. O grupo está avaliado como ativo desde pelo menos março de 2023 e tem um histórico de atingir organizações na Ásia, África e Médio Oriente.
Uma análise mais aprofundada do ator da ameaça revelou sobreposições táticas com dois outros grupos, incluindo os Piratas Espaciais e uma campanha ainda não atribuída visando a Arábia Saudita com outra porta dos fundos conhecida como Zardoor.
Descobriu-se que o último conjunto de ataques documentados pelo fornecedor russo de segurança cibernética tinha como alvo organizações do Quirguistão no final de setembro de 2025 com e-mails de phishing contendo um documento do Microsoft Office, que, quando aberto, instrui os destinatários a "habilitar conteúdo" para executar uma macro maliciosa.
Enquanto o documento exibe o plano tarifário de uma operadora de telecomunicações para a vítima, a macro secretamente descarta um carregador de malware C++ chamado LuciLoad que, por sua vez, entrega o LuciDoor. Outro ataque observado no final de novembro de 2025 adotou o mesmo modus operandi, só que desta vez usou um carregador diferente com o codinome MarsSnakeLoader para implantar o MarsSnake.
Ainda em janeiro de 2026, diz-se que o UnsolicitedBooker aproveitou e-mails de phishing como vetor para atingir empresas no Tajiquistão. Embora a cadeia geral de ataque permaneça a mesma, as mensagens incorporam links para os documentos falsos, em vez de anexá-los diretamente.
Escrito em C++, LuciDoor estabelece comunicação com um servidor de comando e controle (C2), coleta informações básicas do sistema e exfiltra os dados para o servidor em formato criptografado. Em seguida, ele analisa as respostas enviadas pelo servidor para executar comandos usando cmd.exe, gravar arquivos no sistema e fazer upload de arquivos.
Da mesma forma, o MarsSnake permite que invasores coletem metadados do sistema, executem comandos arbitrários e leiam ou gravem qualquer arquivo no disco.
A Positive Technologies disse que também encontrou sinais de que o MarsSnake foi usado em ataques contra a China. O ponto de partida é um atalho do Windows que se disfarça como um documento do Microsoft Word (*.doc.lnk) que aciona a execução de um script em lote para iniciar um script do Visual Basic, que então inicia o MarsSnake sem o componente carregador.
Acredita-se que o arquivo chamariz seja baseado em um arquivo LNK associado a uma ferramenta de pentesting disponível publicamente chamada FTPlnk_phishing, devido ao tempo de criação do arquivo LNK idêntico e aos indicadores de ID da máquina. É importante notar que um arquivo LNK semelhante foi usado pelo grupo Mustang Panda em ataques contra a Tailândia em 2022.
“Em seus ataques, o grupo utilizou ferramentas raras de origem chinesa”, disse a Positive Technologies. “Curiosamente, no início, o grupo usou um backdoor que apelidamos de LuciDoor, mas depois mudou para o backdoor MarsSnake. No entanto, em 2026, o grupo fez meia-volta e voltou a usar o LuciDoor.”
“Além disso, em pelo menos um caso, observamos os invasores usando um roteador hackeado como servidor C2, e sua infraestrutura imitou a da Rússia em alguns ataques”.
PseudoSticky e Cloud Atlas visam a Rússia
A divulgação ocorre no momento em que um ator de ameaça até então desconhecido está imitando deliberadamente as táticas de um grupo de hackers pró-ucraniano chamado Sticky Werewolf (também conhecido como Angry Likho, MimiStick e PhaseShifters) para atacar organizações russas nos setores de varejo, construção e pesquisa com malware como RemcosRAT e DarkTrack RAT para roubo abrangente de dados e controle remoto.
O novo grupo, conhecido como PseudoSticky, está ativo desde novembro de 2025. As vítimas são normalmente infectadas por e-mails de phishing contendo anexos maliciosos que levam à implantação de trojans. Há indicações de que o ator da ameaça confiou em grandes modelos de linguagem (LLMs) para desenvolver cadeias de ataque que eliminam o DarkTrack RAT via PureCrypter.
“Uma análise mais detalhada revela diferenças na infraestrutura, implementação de malware e elementos táticos individuais, levando-nos a suspeitar que provavelmente não há conexão direta entre os grupos, mas sim um mimetismo deliberado”, disse o fornecedor de segurança russo F6.
Entidades russas também foram alvo de outro grupo de hackers chamado Cloud Atlas, que usa e-mails de phishing contendo documentos maliciosos do Word para distribuir malware personalizado conhecido como V.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #unsolicitedbooker #tem #como #alvo #as #telecomunicações #da #ásia #central #com #lucidoor #e #marssnake #backdoors
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário