0
0
A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), líder global em soluções de cibersegurança , alerta para uma nova campanha avançada de ciberespionagem, designada Silver Dragon, que tem como alvo entidades governamentais no Sudeste Asiático e na Europa. De acordo com a investigação conduzida pela Check Point Research, o grupo apresenta fortes indícios de ligação a um actor de ameaça com nexo chinês, provavelmente associado ao ecossistema APT41.
Activa pelo menos desde meados de 2024, a operação distingue-se pela combinação de exploração de servidores expostos à Internet, campanhas de phishing direccionadas e utilização de malware personalizado, com especial destaque para um backdoor inovador que utiliza o Google Drive como canal de comando e controlo, permitindo comunicações encobertas através de um serviço cloud amplamente confiável.
A Silver Dragon tem como principais alvos ministérios Principais conclusões da investigação e organizações do sector público, com maior incidência no Sudeste Asiático e actividade adicional identificada na Europa. A selecção de vítimas e os métodos utilizados indicam um objectivo claro de recolha de informação estratégica a longo prazo, em vez de ganhos financeiros imediatos.
O grupo recorre a duas vias principais de acesso inicial:
· Exploração de servidores públicos vulneráveis
· Campanhas de phishing com anexos maliciosos, incluindo documentos que se fazem passar por comunicações oficiais dirigidas a entidades governamentais no Uzbequistão
Após o acesso inicial, os atacantes implementam loaders personalizados, como o BamboLoader e o MonikerLoader, que acabam por descarregar beacons do framework Cobalt Strike como payload final.
Persistência furtiva através de serviços Windows legítimos
Um dos aspectos mais preocupantes desta campanha é a técnica de persistência. Em vez de criar serviços claramente maliciosos, a Silver Dragon sequestra serviços legítimos do Windows, como Windows Update, Bluetooth Update, .NET ClickOnce ou sincronização de fuso horário, recriando-os para executar código malicioso sob nomes aparentemente legítimos .
Esta abordagem permite que o malware se misture com a actividade normal do sistema operativo, dificultando a detecção, sobretudo em ambientes governamentais de grande dimensão.
GearDoor: comando e controlo através do Google Drive
No centro da operação encontra-se o GearDoor, um backdoor desenvolvido em .NET que utiliza o Google Drive como canal de comunicação. Cada sistema comprometido cria uma pasta dedicada na cloud, onde envia ficheiros de “heartbeat” e recebe instruções disfarçadas sob extensões aparentemente benignas, como .png, .cab, .rar ou .pdf.
Esta arquitectura baseada em ficheiros permite que o tráfego malicioso se confunda com utilização legítima de serviços SaaS, reforçando uma tendência crescente na ciberespionagem avançada, a instrumentalização de plataformas confiáveis para reduzir a probabilidade de detecção.
Ferramentas adicionais de monitorização e controlo
A campanha inclui ainda:
· SilverScreen, um implante de monitorização que captura screenshots apenas quando detecta alterações visuais relevantes, permitindo vigilância prolongada com reduzido impacto no sistema
· SSHcmd, uma ferramenta em .NET que facilita execução remota de comandos e transferência de ficheiros via SSH
A utilização combinada destas ferramentas evidencia uma estratégia de permanência prolongada e recolha contínua de informação.
Avaliação de atribuição
Com base em múltiplos indicadores técnicos e operacionais, incluindo semelhanças nos scripts de instalação, padrões de persistência e métodos de desencriptação, a Check Point Research avalia com elevado grau de confiança que a Silver Dragon está ligada a um actor com nexo chinês, possivelmente integrado no universo APT41.
Impacto estratégico para governos e organizações críticas
A Silver Dragon demonstra que a superfície de ataque já não se limita a infraestruturas suspeitas ou domínios desconhecidos. Serviços legítimos do sistema operativo e plataformas cloud amplamente utilizadas podem ser convertidos em canais encobertos de comando e controlo.
Para entidades governamentais e organizações de sectores críticos, esta realidade exige:
· Actualização rápida e contínua de servidores expostos
· Reforço da segurança de email e protecção contra phishing
· Monitorização aprofundada de alterações ao nível de serviços Windows
· Visibilidade e inspecção de tráfego cloud, mesmo quando proveniente de plataformas confiáveis
“A Silver Dragon representa a evolução natural da ciberespionagem moderna, actores que exploram múltiplos vectores de entrada e se ocultam em serviços Windows legítimos e plataformas amplamente utilizadas como o Google Drive. As organizações já não podem assumir que tráfego cloud ou componentes do sistema operativo são intrinsecamente seguros. A defesa eficaz exige prevenção integrada, visibilidade transversal entre rede, endpoint e cloud,
e capacidade de detectar abuso mesmo quando este aparenta ser legítimo”, afirma Sergey Shykevich, Threat Intelligence Group Manager da Check Point Software.
Protecção contra campanhas avançadas
A Check Point protege os seus clientes contra campanhas como a Silver Dragon através de uma arquitectura de prevenção multi-camada, sustentada por inteligência de ameaças em tempo real da Check Point Research, análise comportamental avançada e protecção integrada entre rede, endpoints, email e cloud.
A plataforma Infinity permite consolidar visibilidade e resposta, reduzindo o tempo de permanência de atacantes e mitigando riscos associados a actores de ameaça alinhados com interesses estatais.
A Check Point Research continuará a monitorizar a actividade da Silver Dragon e a partilhar indicadores de compromisso e informação técnica relevante com a comunidade de cibersegurança