Malware de backdoor EAGLET
A ciberespionagem continua a evoluir, com agentes de ameaças ligados a Estados empregando táticas cada vez mais enganosas. Um dos incidentes mais recentes envolve uma campanha elaborada que visa comprometer os setores aeroespacial e de defesa da Rússia, utilizando uma backdoor personalizada chamada EAGLET para vigilância secreta e roubo de dados.
Índice
Alvo identificado: indústria aeroespacial russa sob cerco
A campanha, conhecida como Operação CargoTalon, foi atribuída a um cluster de ameaças denominado UNG0901 (Grupo Desconhecido 901). Este grupo tem como alvo a Associação de Produção de Aeronaves de Voronezh (VASO), uma importante entidade russa de fabricação de aeronaves. Os invasores empregam táticas de spear-phishing que exploram documentos "товарно-транспортная накладная" (TTN), um tipo de formulário de transporte de carga essencial para as operações logísticas na Rússia.
Como o ataque se desenrola: iscas armamentizadas e implantação de malware
A cadeia de infecção começa com e-mails de spear-phishing que contêm conteúdo falso relacionado a entregas de cargas. Essas mensagens incluem arquivos ZIP que contêm um arquivo de atalho do Windows (LNK). Quando executado, o arquivo LNK usa o PowerShell para iniciar um documento falso do Microsoft Excel, instalando simultaneamente o backdoor EAGLET DLL no sistema comprometido.
O documento falso faz referência à Obltransterminal, uma operadora de terminal ferroviário de contêineres russa sancionada pelo Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos EUA em fevereiro de 2024 — uma medida provavelmente destinada a adicionar credibilidade e urgência à isca.
Dentro do EAGLET: Capacidades e Comunicação C2
O backdoor EAGLET é um implante furtivo projetado para coleta de informações e acesso persistente. Seus recursos incluem:
- Coletando informações do sistema
- Conectando-se a um servidor C2 codificado no endereço IP 185.225.17.104
- Analisando respostas HTTP para recuperar comandos para execução
O implante possui acesso interativo ao shell e suporta operações de upload/download de arquivos. No entanto, devido ao status offline atual do servidor de Comando e Controle (C2), os analistas não conseguiram determinar o escopo completo das possíveis cargas úteis do próximo estágio.
Vínculos com outros atores de ameaça: EAGLET e Head Mare
Evidências sugerem que o UNG0901 não opera isoladamente. Campanhas semelhantes com o EAGLET foram observadas visando outras entidades do setor militar russo. Essas operações revelam conexões com outro grupo de ameaças conhecido como Head Mare, identificado por seu foco em organizações russas.
Os principais indicadores de sobreposição incluem:
- Semelhanças do código-fonte entre os conjuntos de ferramentas EAGLET e Head Mare
- Convenções de nomenclatura compartilhadas em anexos de phishing
Semelhanças funcionais entre EAGLET e PhantomDL, um backdoor baseado em Go conhecido por seus recursos de shell e transferência de arquivos
Principais conclusões: sinais de alerta e ameaças persistentes
Esta campanha destaca a precisão crescente das operações de spear-phishing, especialmente aquelas que utilizam iscas específicas de domínio, como documentos TTN. O uso de entidades sancionadas em arquivos falsos, combinado com malware personalizado como o EAGLET, ilustra uma tendência crescente em campanhas de espionagem altamente direcionadas a infraestruturas críticas.
Indicadores de comprometimento e sinais de alerta a serem observados:
- E-mails fazendo referência a documentos de carga ou entrega de entidades russas sancionadas.
- Anexos ZIP suspeitos contendo arquivos LNK que executam comandos do PowerShell.
- Conexões de saída para IPs desconhecidos.
Profissionais de segurança cibernética devem permanecer atentos às táticas em evolução de agentes de ameaças como o UNG0901, especialmente porque eles visam setores sensíveis com implantes de malware personalizados e kits de ferramentas sobrepostos.
