Malware sem arquivo EggStreme
Uma empresa militar sediada nas Filipinas foi vítima de uma sofisticada campanha de ciberespionagem vinculada a um grupo de ameaças persistentes avançadas (APT) que se acredita ter origem na China. Os invasores utilizaram uma estrutura de malware sem arquivo até então desconhecida, chamada EggStreme, projetada para manter acesso discreto e de longo prazo aos sistemas comprometidos.
Índice
O Framework EggStreme: Multiestágio e Sem Arquivos
O EggStreme não é um malware único, mas sim uma estrutura de componentes fortemente integrada. Sua cadeia de infecção começa com o EggStremeFuel (mscorsvc.dll), que cria um perfil do sistema antes de implantar o EggStremeLoader para estabelecer a persistência. Em seguida, vem o EggStremeReflectiveLoader, que aciona o backdoor principal, o EggStremeAgent.
A execução sem arquivos do framework garante que o código malicioso seja executado inteiramente na memória, deixando rastros mínimos no disco. Além disso, o uso de sideload de DLLs ao longo da cadeia de ataque complica a detecção e a análise forense.
EggStremaAgent: O Sistema Nervoso Central
No centro da estrutura está o EggStremeAgent, um backdoor totalmente funcional que opera como o principal centro de controle do invasor. Ele permite o reconhecimento do sistema, a escalada de privilégios e a movimentação lateral, além de implementar o EggStremeKeylogger para capturar as teclas digitadas em sessões ativas do usuário.
O backdoor se comunica com sua infraestrutura de comando e controle (C2) por meio do protocolo Google Remote Procedure Call (gRPC) e oferece suporte a impressionantes 58 comandos, que vão desde exfiltração de dados e execução de shellcode até injeção de carga útil.
Um implante auxiliar, o EggStremeWizard (xwizards.dll), fornece aos invasores um shell reverso e recursos de transferência de arquivos. Seu design incorpora múltiplos servidores C2, garantindo resiliência mesmo se um servidor for interrompido.
Capacidades do EggStremeFuel
O módulo inicial, EggStremeFuel, é responsável pelo reconhecimento e estabelecimento de comunicação com a infraestrutura dos invasores. Ele permite que os operadores:
- Reúna informações da unidade do sistema.
- Inicie o cmd.exe e mantenha a comunicação por meio de pipes.
- Transmita o endereço IP externo da máquina usando myexternalip.com/raw.
- Leia arquivos locais e remotos, salvando ou transmitindo seu conteúdo.
- Despejar dados de configuração na memória para o disco.
- Desligue as conexões quando necessário.
Táticas, Técnicas e Ferramentas
Os agentes da ameaça utilizam consistentemente o sideload de DLLs, iniciando binários legítimos que carregam DLLs maliciosas. Eles também integram o utilitário proxy Stowaway para garantir uma presença segura nas redes internas. Combinadas com o fluxo de execução sem arquivo do malware, essas técnicas permitem que a operação se infiltre na atividade normal do sistema e evite a detecção por ferramentas de segurança tradicionais.
Contexto geopolítico e desafios de atribuição
A perseguição de entidades filipinas por grupos ligados à China não é novidade e provavelmente é influenciada por disputas territoriais em andamento no Mar da China Meridional envolvendo China, Vietnã, Filipinas, Taiwan, Malásia e Brunei.
Embora esta campanha específica não tenha sido atribuída a nenhum grupo chinês conhecido de APT, os objetivos e interesses se alinham fortemente com aqueles historicamente associados a atores patrocinados pelo Estado chinês. Pesquisadores começaram a monitorar a atividade no início de 2024, mas ainda não a vincularam de forma conclusiva a um grupo de ameaça existente.
Uma ameaça persistente e evasiva
A família de malware EggStreme destaca um alto nível de sofisticação, persistência e adaptabilidade. Sua dependência de técnicas sem arquivo, execução em vários estágios e infraestrutura C2 redundante ressalta o conhecimento avançado dos operadores em medidas defensivas modernas. Para os defensores, esta campanha serve como um lembrete da evolução do cenário de ameaças e da importância de estratégias proativas de detecção e resposta.
