SNOWLIGHT Malware
O agente de ameaças UNC5174, ligado à China e também conhecido como Uteus (ou Uetus), lançou uma nova campanha cibernética envolvendo uma versão modificada do malware SNOWLIGHT e um novo Trojan de Acesso Remoto (RAT) de código aberto chamado VShell. Esta operação tem como alvo sistemas Linux e emprega técnicas avançadas para evitar detecção e atribuição.
Índice
Integração: Ferramentas de Código Aberto como Disfarce
Os agentes de ameaças estão cada vez mais recorrendo a ferramentas de código aberto para reduzir custos e mascarar suas atividades. Neste caso, o UNC5174 está usando essas ferramentas para se assemelhar a hackers de baixo escalão, sem patrocínio estatal, dificultando o rastreamento da campanha até um Estado-nação. Essa tática permitiu que o UNC5174 operasse discretamente desde sua última associação conhecida com operações ligadas ao governo chinês, há mais de um ano.
Um Arsenal Familiar: O SNOWLIGHT e Seu Papel
Anteriormente, o UNC5174 explorou vulnerabilidades no Connectwise ScreenConnect e no software F5 BIG-IP para implantar o SNOWLIGHT, um downloader ELF baseado em C. Essa ferramenta foi usada para recuperar o GOHEAVY, uma ferramenta de tunelamento baseada em Golang, da infraestrutura vinculada ao SUPERSHELL — uma estrutura C2 disponível publicamente.
Expansão do Conjunto de Ferramentas: GOREVERSE e os Novos Vetores de Ataque
O kit de ferramentas do grupo também inclui o GOREVERSE, um shell reverso Golang que se comunica via Secure Shell (SSH). A Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI) observou recentemente táticas semelhantes usadas em ataques às vulnerabilidades do Ivanti Cloud Service Appliance (CSA), incluindo CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190.
Ameaças entre Plataformas: O SNOWLIGHT e o VShell Têm como Alvo o macOS
Tanto o SNOWLIGHT quanto o VShell são capazes de infectar sistemas macOS da Apple. Em outubro de 2024, o VShell foi disfarçado como um aplicativo autenticador falso da Cloudflare, sugerindo uma infraestrutura de ataque mais ampla e flexível. Essa capacidade multiplataforma aumenta a ameaça geral representada pelo UNC5174.
Pontos de Entrada Invisíveis: A Cadeia de Ataque e a Implantação da Carga Útil
Em um ataque observado em janeiro de 2025, o SNOWLIGHT foi usado como um dropper para entregar o VShell, um RAT sem arquivo na memória. O método de acesso inicial permanece desconhecido, mas uma vez dentro do sistema, um script malicioso (download_backd.sh) é usado para implantar dois binários de chave: dnsloger (SNOWLIGHT) e system_worker (Sliver). Essas ferramentas ajudam a estabelecer persistência e iniciar a comunicação com um servidor C2.
Stealth e Controle: O Estágio Final com o VShell
A etapa final da intrusão envolve o download do VShell por meio de uma solicitação personalizada ao servidor C2. Como um Trojan de acesso remoto, o VShell concede aos invasores a capacidade de executar comandos arbitrários e transferir arquivos. Sua natureza sem arquivos e o uso de WebSockets para comunicações C2 o tornam uma ferramenta particularmente furtiva e perigosa no arsenal do invasor.
Conclusão: Uma Ameaça Sofisticada e Evasiva
O UNC5174 continua a representar um risco significativo com sua combinação de ferramentas de código aberto, métodos de entrega sofisticados e payloads furtivos como SNOWLIGHT e VShell. Sua capacidade de permanecer indetectável, aproveitando ferramentas públicas e explorando vulnerabilidades entre plataformas, reforça a necessidade de vigilância redobrada e estratégias defensivas atualizadas.
