🌟 Atualização imperdível para quem gosta de estar bem informado!

Leia, comente e fique sempre atualizado!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética atribuíram o incidente de segurança da DigiCert de abril de 2026 a um cluster de atividades de ameaça denominado CylindricalCanine.

Expel, que compartilhou detalhes técnicos do evento, descreveu o ator da ameaça como um subgrupo do GoldenEyeDog (também conhecido como APT-Q-27, Dragon Breath e Miuuti Group), um grupo chinês de crimes cibernéticos conhecido por atacar os setores de jogos de azar e jogos usando sites falsificados para distribuir software com malware. Sabe-se que está ativo desde pelo menos 2015.

“Em abril de 2026, GoldenEyeDog usou seu malware para acessar o dispositivo de um membro de suporte na DigiCert, um provedor de certificados de assinatura de código, e aproveitou seu acesso para roubar certificados destinados a clientes da DigiCert”, disse Aaron Walton, pesquisador de segurança da Expel, em uma análise. “Este ataque destacou a capacidade do malware e dos operadores.”

Central para as operações do ator da ameaça é uma versão modificada do Gh0st RAT (também conhecido como Farfli), um trojan de acesso remoto (RAT) amplamente usado por grupos de hackers chineses, incluindo outro prolífico grupo chinês de crimes cibernéticos rastreado como Silver Fox. O malware modular, conhecido como Golden Gh0st RAT, é entregue por meio do Golden Gh0st Loader.

Em um relatório publicado em novembro de 2025, o Elastic Security Labs detalhou o uso pelo adversário de um carregador de vários estágios de codinome RONINGLOADER para distribuir uma variante Gh0st RAT por meio de instaladores NSIS disfarçados de programas legítimos, como Google Chrome e Microsoft Teams.

No início deste ano, outra campanha ligada ao grupo de hackers foi observada orquestrando um ataque em vários estágios direcionado à equipe de suporte ao cliente que trabalha para empresas Web3, usando links suspeitos enviados via chat de suporte ao cliente para entregar o Gh0st RAT.

“Esses atores estão usando malware e visando vítimas consistentes com outras atividades de crimes cibernéticos chineses, inclusive visando organizações financeiras na região Ásia-Pacífico”, disse Expel. “O malware tem como alvo organizações financeiras na região Ásia-Pacífico.”

Golden Gh0st RAT compartilha sobreposições comportamentais e táticas com uma carga detectada pelo fornecedor de segurança chinês QiAnXin em 2020 em conexão com uma campanha de ataque direcionada à indústria de jogos de azar desde 2019. Ele também se sobrepõe a um malware documentado por ANY.RUN em fevereiro de 2025 como Zhong Stealer.

O compromisso DigiCert

Além do mais, CylindricalCanine foi observado abusando de certificados de assinatura de código, obtendo acesso não autorizado à DigiCert para interceptar certificados de assinatura de código destinados a clientes DigiCert e, em seguida, usando-os para assinar seu próprio malware para evitar a detecção.

Em abril de 2026, a autoridade de certificação (CA) revelou que revogou certificados obtidos de forma fraudulenta em seu portal de suporte interno após obter acesso a duas estações de trabalho de analistas de suporte, executando uma carga maliciosa entregue por meio de um canal de bate-papo do cliente.

“Em 02/04/2026, um agente de ameaça contatou a equipe de suporte da DigiCert por meio de um canal de bate-papo do cliente e entregou um arquivo ZIP disfarçado como uma captura de tela do cliente”, explicou DigiCert na época. "O arquivo continha um executável .scr com uma carga maliciosa."

“O agente da ameaça usou uma função limitada dentro do portal de suporte ao cliente, que permite que analistas de suporte autenticados da DigiCert acessem contas de clientes da perspectiva do cliente para facilitar as tarefas de suporte. O agente da ameaça foi capaz de usar esta função para acessar códigos de inicialização para pedidos que foram aprovados, mas com entrega pendente para pedidos de certificados de assinatura de código EV em um conjunto finito de contas de clientes.”

O descuido fatal aqui foi que a posse de um código de inicialização, juntamente com um pedido aprovado, era “funcionalmente suficiente” para obter certificados de assinatura de código EV em um conjunto de contas de clientes e CAs. A empresa disse que revogou 60 certificados emitidos pelas seguintes CAs -

Assinatura de código G4 confiável da DigiCert RSA4096 SHA256 2021 CA1

Assinatura de código G4 confiável da DigiCert RSA4096 SHA384 2021 CA1

GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1

Código seguro EV de alta garantia Verokey

Destes, 27 teriam sido explicitamente vinculados ao ator da ameaça, com os certificados explorados transformados em armas para assinar artefatos de malware Zhong Stealer.

“O modelo de ameaça não levou em conta o cenário em que os códigos de inicialização armazenados no portal de suporte interno da DigiCert poderiam ser visualizados por uma conta de analista comprometida da DigiCert operando por meio da função do portal”, explicou a empresa, acrescentando que desde então implantou uma alteração de código para mascarar códigos de inicialização de usuários com proxy na UE. e plataformas dos EUA usando UI ou API.

Cadeias de ataque levam ao Golden Gh0st RAT

Expel disse que a principal tática do CylindricalCanine é distribuir arquivos disfarçados de capturas de tela em e-mails de phishing. Os arquivos são incorporados às mensagens na forma de um link que, quando clicado, baixa páginas adicionais.
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #subgrupo #goldeneyedog #vinculado #à #violação #da #digicert #e #roubo #de #certificado #de #assinatura #de #código
💡 Compartilhe e ajude nosso projeto a crescer!

Post a Comment