## Introdução O **Atos** Threat Research Center (TRC) identificou uma campanha maliciosa sofisticada em março de 2026. Esta operação visa contas profissionais de alto privilégio de administradores corporativos, engenheiros DevOps e analistas de segurança, ao se passar por utilitários administrativos. Ao integrar **Search Engine Order (SEO) poisoning**, uma **arquitetura de distribuição GitHub de duas etapas** e **resolução de comando e controle (C2) descentralizada baseada em blockchain**, os atores de ameaça estabeleceram um mecanismo de entrega e persistência altamente resiliente. ### Distribuição Criativa via Fachadas do GitHub A campanha utiliza uma cadeia de entrega em várias camadas projetada para evadir derrubadas em nível de plataforma e manter uma alta classificação nos motores de busca. O ataque começa com **SEO poisoning** em vários motores de busca, incluindo **Bing**, **Yahoo**, **DuckDuckGo** e **Yandex**. Isso garante que resultados maliciosos para termos de TI de nicho apareçam no topo dos resultados de busca. Os usuários são inicialmente direcionados para um **repositório GitHub "fachada" primário**. Esses repositórios são otimizados para SEO, mas não contêm código malicioso - apenas um arquivo README com aparência profissional. Para manter a flexibilidade operacional, o README contém um link que direciona uma vítima para um **segundo repositório GitHub oculto**. Este serve como o verdadeiro ponto de distribuição do malware. Ao separar a "vitrine" otimizada para SEO da conta de entrega de payload, os atores de ameaça podem rotacionar rapidamente seus repositórios de distribuição se forem sinalizados, enquanto a fachada primária indexada pela busca permanece ativa e intocada. ### Impersonação Estratégica de Ferramentas e Perfilamento de Vítimas A campanha é caracterizada por seu foco na **pilha administrativa**. Ao distribuir instaladores MSI maliciosos disfarçados de ferramentas como **PsExec**, **AzCopy**, **Sysmon**, **LAPS** e **Kusto Explorer**, o adversário realiza perfilamento automatizado de vítimas. Essas utilidades são usadas quase exclusivamente por pessoal com permissões elevadas de rede e sistema. Uma infecção bem-sucedida na estação de trabalho de um administrador pode fornecer as "chaves do reino", o que pode facilitar o movimento lateral dentro do ambiente corporativo. ### Comando e Controle Descentralizado via Ethereum O aspecto tecnicamente mais significativo da campanha é sua implementação de **Blockchain-based Dead Drop Resolving (DDR)**. Uma vez que o MSI malicioso é executado, o malware não se conecta a um domínio ou endereço IP codificado, que poderia ser facilmente bloqueado. Em vez disso, o malware inicia repetidamente uma consulta a um **endpoint RPC público do Ethereum (ETH)**. O malware é codificado com um **endereço de Smart Contract específico** na blockchain Ethereum. Ao consultar este contrato, o malware recupera dinamicamente o endereço do servidor C2 ativo. Esta técnica fornece ao adversário extrema resiliência: * **Agilidade da infraestrutura:** O atacante pode rotacionar servidores C2 globalmente simplesmente atualizando o valor armazenado no contrato da blockchain. * **Robustez:** Desde que os gateways públicos do Ethereum sejam acessíveis, o malware sempre poderá encontrar seu "lar", tornando os esforços tradicionais de derrubada ou bloqueio de domínio ineficazes. ## Análise da Pesquisa Esta pesquisa fornece uma análise técnica abrangente da campanha atual, baseada em observação de longo prazo e detonação ativa em um ambiente controlado. Nossa pesquisa vai além dos vetores de entrega iniciais para examinar a infraestrutura sofisticada e os comportamentos pós-exploração. Os seguintes pontos de dados representam os principais mecanismos operacionais da campanha, incluindo: * **Distribuição de Malware:** detalhamento da arquitetura de repositório GitHub de duas etapas e o uso de SEO-poisoning para manipular os resultados dos motores de busca. * **Impersonação de Ferramentas Administrativas:** uma análise detalhada das ferramentas administrativas específicas que estão sendo impersonadas para garantir o comprometimento de pessoal de TI com alto privilégio. * **Lógica do Malware:** análise de malware dos payloads MSI maliciosos, incluindo seus componentes iniciais de staging e persistência. * **Infraestrutura C2 Descentralizada:** investigação sobre o uso de Smart Contracts Ethereum e gateways RPC públicos pelo malware para resolver dinamicamente endereços ativos de Comando e Controle (C2). *NOTA: Durante a finalização da pesquisa, identificamos um alerta preliminar da **KISA**&KrCERT/CC sobre a campanha deste ator de ameaça - [LINK](https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71998&menuNo=205020). Embora o relatório inicial tenha fornecido visibilidade antecipada, nossa investigação longitudinal confirma que a campanha permanece altamente ativa e passou por uma maturação técnica significativa.* *Nossa investigação confirma ainda que o malware está evoluindo, com várias variantes distintas e infraestrutura C2 adicional identificadas desde o início da campanha.* > *Descubra as últimas inteligências de ameaças e insights de pesquisa de adversários nos [Blogs Atos Cyber Shield.](https://atos.net/en/lp/cybershield)* ### Distribuição de Malware A visualização abaixo demonstra a cadeia de distribuição de duas etapas, onde o repositório fachada otimizado para SEO redireciona usuários desavisados para uma conta GitHub secundária hospedando o MSI malicioso. Essa arquitetura modular permite que os atores de ameaça preservem suas classificações nos motores de busca, mesmo que as contas individuais de entrega de payload sejam derrubadas.  O ciclo de vida da intrusão começa com uma consulta de busca via Bing (também Yahoo, DuckDuckGo, Yandex) por utilitários administrativos de TI especializados. Através de SEO poisoning agressivo, os atores de ameaça garantem que o repositório GitHub fachada apareça proeminentemente entre os principais resultados de busca. Neste caso, um usuário que procura Kusto Explorer – uma ferramenta crítica para engenheiros e analistas que consultam o Azure Data Explorer via KQL – é levado a uma vitrine não maliciosa projetada para construir confiança inicial. <table><tbody><tr><td></td></tr><tr><td>Busca no Bing por “kusto explorer”</td></tr></tbody></table> <table><tbody><tr><td></td></tr><tr><td>Busca no Bing por “kusto explorer download”</td></tr></tbody></table> O primeiro repositório que o usuário abre é uma vitrine que se passa pela ferramenta administrativa alvo. Este repo fachada é intencionalmente limpo de malware, agindo apenas como um gateway para o segundo estágio malicioso do processo de entrega. Graças a esse design, ele mantém uma alta classificação nos motores de busca. Primeiro repositório GitHub - usado apenas como fachada <table><tbody><tr><td></td></tr></tbody></table>