Você já imaginou um grupo de espiões digitais, com ligações a um ministério de segurança estatal chinês, invadindo organizações globais? Parece trama de filme, mas é a realidade de uma nova ameaça cibernética que está deixando especialistas em segurança preocupados. Neste post, vamos desvendar os detalhes dessa operação altamente sofisticada!
O grupo, conhecido como UNC5174, utiliza um trojan de acesso remoto (RAT) descrito como “melhor que o Cobalt Strike”. Sua capacidade de invasão é impressionante, permitindo espionagem e até mesmo revenda de acessos comprometidos. A operação é tão eficiente que passou despercebida por muito tempo.
O Arsenal do UNC5174
O arsenal do UNC5174 é uma combinação de malwares personalizados e de código aberto. Um dos destaques é o dropper SNOWLIGHT, que entrega as cargas maliciosas no sistema alvo. Além disso, eles utilizam o VShell, um backdoor de memória que se tornou famoso em fóruns de cibercriminosos por sua eficiência, superando até mesmo o famoso Cobalt Strike.
O Poderoso VShell
O VShell é um backdoor particularmente furtivo. Disponibilizado no GitHub em 2024, ele reside na memória RAM, não deixando rastros em disco. Isso torna extremamente difícil sua detecção por softwares antivírus comuns, que geralmente procuram por arquivos maliciosos em HD. A fácil instalação e o fato de ser multiplataforma o torna ainda mais perigoso.
Após o acesso inicial, um script malicioso baixa e executa duas cargas: o dnsloger (família SNOWLIGHT) e o system_worker, que instala o implante Sliver e o VShell. Essa combinação de ferramentas garante persistência e controle amplo sobre as máquinas comprometidas.
Os Alvos e o Método
Embora o acesso inicial ainda não tenha sido completamente identificado, o UNC5174 tem demonstrado preferência por sistemas Linux. A equipe de pesquisa observou a utilização de infraestrutura nova para squatting de domínios, imitando empresas conhecidas como Cloudflare, Telegram, Google e a financeira Huione Pay. O objetivo é enganar as vítimas com ataques de phishing ou engenharia social.
As campanhas mais recentes focaram principalmente em organizações dos EUA, mas há indícios de comprometimento em Hong Kong, Taiwan, Japão, Alemanha e França. Este grupo mantém sua atividade, com novos exemplos de IOCs (Indicadores de Compromisso) registrados até recentemente – sendo um deles detectado em 11 de abril.
Novos domínios falsos aparecem quase diariamente, mostrando a sofisticação e a persistência da operação. A capacidade cross-platform do VShell permite o uso em macOS e Windows.
SNOWLIGHT e a História do UNC5174
O UNC5174 já era conhecido por ações anteriores. No ínicio de 2024, ele explorou vulnerabilidades graves em equipamentos F5 e ConnectWise para vender acessos a organizações de defesa americanas, agências governamentais do Reino Unido e centenas de outras entidades.
Na época, a suspeita já recaía sobre uma atuação como contratado do Ministério da Segurança do Estado Chinês. Foi identificado também o dropper SNOWLIGHT, usado nas operações. A descoberta do VShell em 2025 revelou a continuidade das atividades, com a utilização de um método similar.
VShell: Uma Ameaça Evoluída
Embora o desenvolvedor do VShell tenha removido o software do repositório oficial, ele continua circulando online e é facilmente configurado, mesmo com a licença expirada. A utilização do protocolo WebSocket via porta HTTPS (8443) garante criptografia e tempo real nas transmissões de dados, tornando a detecção muito mais difícil.
Essa combinação de ferramentas (SNOWLIGHT, VShell, técnicas WebSocket e domain squatting) oferece sigilo e persistência impressionantes. A capacidade de exfiltração de dados criptografados e o caráter furtivo do malware comprovam que o grupo UNC5174 continua ativo em operações de espionagem e revenda de acessos, representando uma ameaça significativa para a segurança global.
Deixe seu comentário abaixo e compartilhe suas impressões sobre esse caso!
Fonte: Theregister
