Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware FINALDRAFT Backdoor

FINALDRAFT Backdoor

Por Mezo em Malware, Ameaça Persistente Avançada (APT), Backdoors
Traduzir Para:

O grupo de ameaças conhecido como Jewelbug intensificou seu foco em organizações governamentais europeias desde julho de 2025, mantendo, ao mesmo tempo, operações ativas contra alvos no Sudeste Asiático e na América do Sul. Pesquisadores monitoram esse grupo de atividades como Ink Dragon, também conhecido na comunidade de segurança como CL-STA-0049, Earth Alux e REF7707. Acredita-se que o grupo seja alinhado à China e demonstra atividade contínua desde pelo menos março de 2023.

Identidades Múltiplas, Um Cluster Coordenado

As campanhas da Ink Dragon refletem uma capacidade de intrusão madura e disciplinada. Seus operadores combinam sólidas habilidades em engenharia de software com manuais operacionais repetíveis, frequentemente utilizando utilitários integrados à plataforma para camuflar atividades maliciosas em dados legítimos de telemetria corporativa. Essa técnica deliberada aumenta significativamente o sigilo e dificulta a detecção.

Âmbito de aplicação, objetivos e impacto contínuo

A campanha permanece ativa e já afetou dezenas de vítimas. As organizações impactadas abrangem agências governamentais e provedores de telecomunicações na Europa, Ásia e África. A abrangência das vítimas ressalta tanto a escalabilidade da infraestrutura do agente quanto seu interesse estratégico em redes de alto valor.

Visibilidade precoce e principais famílias de malware

Informações públicas sobre o Ink Dragon surgiram em fevereiro de 2025, quando pesquisadores documentaram o uso do backdoor FINALDRAFT, também conhecido como Squidoor. Este malware é compatível com ambientes Windows e Linux. Mais recentemente, o grupo foi associado a uma intrusão prolongada de cinco meses contra um provedor de serviços de TI russo, evidenciando sua capacidade de manter acesso oculto por longos períodos.

Acesso inicial e entrega da carga útil

O Ink Dragon normalmente obtém acesso explorando vulnerabilidades em aplicações web expostas à internet. Essas vulnerabilidades são exploradas para implantar web shells, que servem como pontos de partida para ferramentas adicionais como VARGEIT e Cobalt Strike. Esses payloads permitem comunicações de comando e controle, reconhecimento interno, movimentação lateral, evasão de defesas e roubo de dados.

Abuso de serviços em nuvem e serviços legítimos

Entre as portas traseiras secundárias do grupo está o NANOREMOTE, que utiliza a API do Google Drive para trocar arquivos entre hosts infectados e a infraestrutura controlada pelo atacante. A seleção de ferramentas parece deliberada e situacional, sugerindo que os operadores adaptam as implantações ao ambiente da vítima e priorizam técnicas que se assemelham a padrões de tráfego normais e confiáveis.

Exploração do ViewState e sequestro da infraestrutura C2

Uma técnica fundamental no arsenal do Ink Dragon envolve a exploração de chaves de máquina ASP.NET fracas ou mal gerenciadas. Ao abusar de falhas de desserialização do ViewState em servidores IIS e SharePoint, o atacante instala um módulo personalizado do ShadowPad IIS Listener. Isso transforma os servidores comprometidos em componentes ativos da rede de comando e controle do atacante, permitindo que ele encaminhe tráfego e comandos, aumentando significativamente a resiliência.

Da violação local à rede global de retransmissão

Essa arquitetura permite que o tráfego seja roteado não apenas para camadas mais profundas de uma única organização, mas também através de redes de vítimas completamente distintas. Como resultado, um servidor comprometido pode se tornar silenciosamente um intermediário em uma infraestrutura mais ampla e multicamadas. O próprio módulo de escuta suporta a execução remota de comandos, dando aos operadores controle direto para reconhecimento e preparação de cargas maliciosas.

Táticas de pós-exploração e escalonamento de privilégios

Além do abuso do ViewState, o Ink Dragon explorou vulnerabilidades do ToolShell no SharePoint para implantar web shells. Após a invasão inicial, o invasor normalmente realiza diversas ações para consolidar o acesso e escalar privilégios:

  • Utilizando chaves de máquina do IIS para obter credenciais administrativas locais e movimentar-se lateralmente por meio de túneis RDP.
  • Estabelecendo persistência por meio de tarefas agendadas e serviços maliciosos.
  • Despejo da memória LSASS e extração de hives do registro para elevar privilégios.
  • Alterar as regras do firewall do host para permitir o tráfego de saída e converter os sistemas em nós de retransmissão do ShadowPad.

Reutilização Avançada de Credenciais e Comprometimento de Domínio

Em pelo menos um caso observado, os atacantes identificaram uma sessão RDP desconectada, porém ativa, pertencente a um Administrador de Domínio autenticado por meio de Autenticação em Nível de Rede com fallback para NTLMv2. Como a sessão permaneceu desconectada, mas não encerrada, informações confidenciais de credenciais persistiram na memória do LSASS. Após obter acesso em nível de SISTEMA, o Ink Dragon extraiu o token e o reutilizou para realizar operações SMB autenticadas, gravar em compartilhamentos administrativos e exfiltrar o NTDS.dit e hives do registro.

Um Ecossistema de Persistência Modular

Em vez de depender de uma única porta dos fundos, a Ink Dragon utiliza um conjunto de componentes especializados para manter o acesso a longo prazo. As ferramentas observadas incluem:

  • Carregador ShadowPad para descriptografar e executar o módulo principal do ShadowPad na memória.
  • CDBLoader, que abusa do depurador de console da Microsoft para executar shellcode e carregar payloads criptografados.
  • LalsDumper para extrair memória LSASS
  • 032Loader para descriptografar e executar payloads adicionais.
  • FINALDRAFT, uma ferramenta de administração remota modernizada que utiliza o Outlook e o Microsoft Graph para comando e controle.

    • Evolução do FINALDRAFT

    O grupo implantou recentemente uma nova variante do FINALDRAFT, projetada para maior discrição e exfiltração de dados mais rápida. Ela introduz métodos avançados de evasão, suporta a entrega de payloads em múltiplos estágios e permite movimentação lateral secreta. Os comandos são entregues como documentos codificados colocados na caixa de correio da vítima, que o implante recupera, descriptografa e executa por meio de uma estrutura de comando modular.

    Sobreposição com outros agentes de ameaça

    Os investigadores também identificaram vestígios de outro grupo alinhado com a China, o REF3927, também conhecido como RudePanda, em vários ambientes comprometidos pelo Ink Dragon. Não há evidências de coordenação entre os dois, e acredita-se que a sobreposição resulte do fato de ambos os grupos explorarem vetores de acesso inicial semelhantes, em vez de compartilharem infraestrutura ou operações.

    Um novo modelo de ameaças para defensores

    O Ink Dragon dilui a linha tradicional entre hosts infectados e infraestrutura de comando. Cada sistema comprometido torna-se um nó funcional em uma malha controlada pelo atacante, que se expande a cada nova vítima. Para os defensores, isso significa que a contenção não pode se concentrar apenas em sistemas individuais. A interrupção eficaz exige a identificação e o desmantelamento de toda a cadeia de retransmissão. O uso do ShadowPad pelo Ink Dragon, centrado na retransmissão, representa uma das implementações mais maduras observadas até o momento, transformando efetivamente as próprias redes das vítimas na espinha dorsal de campanhas de espionagem de longo prazo e multi-organizacionais.

    Tendendo

    Mais visto

    Carregando...