Um ator de ameaças com suspeita de ligações com a China foi implicado em uma "intrusão em múltiplas ondas" contra uma empresa de petróleo e gás do Azerbaijão entre o final de dezembro de 2025 e o final de fevereiro de 2026. Esta campanha representa uma expansão notável no escopo de alvos do grupo. **FamousSparrow** (também conhecido como UAT-9244) foi atribuído pela **Bitdefender** com confiança moderada a alta. O grupo compartilha sobreposições táticas com clusters rastreados como Earth Estries e Salt Typhoon. Os ataques envolveram a implantação de dois backdoors distintos em três ondas separadas: **Deed RAT** (também conhecido como Snappybee), um sucessor do ShadowPad usado por múltiplos grupos de espionagem com nexo chinês, e **TernDoor**, descoberto recentemente em ataques visando infraestrutura de telecomunicações na América do Sul desde 2024. ### Exploração Persistente de Vulnerabilidade do Microsoft Exchange Notavelmente, a campanha explorou repetidamente o mesmo ponto de entrada vulnerável do **Microsoft** Exchange Server, apesar das tentativas de remediação. Os atacantes trocaram os backdoors a cada vez: Deed RAT em 25 de dezembro de 2025, TernDoor no final de janeiro/início de fevereiro de 2026 e uma versão modificada do Deed RAT no final de fevereiro de 2026. Acredita-se que os atacantes exploraram a cadeia ProxyNotShell para obter acesso inicial. "Este alvo estende a victimologia conhecida do FamousSparrow para uma região onde o papel do Azerbaijão na segurança energética europeia aumentou materialmente após o vencimento do acordo de trânsito de gás da Ucrânia pela Rússia em 2024 e as interrupções no Estreito de Ormuz em 2026", afirmou a **Bitdefender** em seu relatório. "A intrusão ilustra que os atores explorarão e reexplorarão o mesmo caminho de acesso até que a vulnerabilidade original seja corrigida, as credenciais comprometidas sejam rotacionadas e a capacidade do atacante de retornar seja totalmente interrompida."  ### Técnicas Avançadas de Carregamento Lateral de DLL O acesso inicial foi seguido por tentativas de implantar web shells para acesso persistente e, finalmente, implantar o Deed RAT usando uma técnica evoluída de carregamento lateral de DLL. Essa técnica aproveita o binário legítimo LogMeIn Hamachi para carregar e executar uma DLL maliciosa responsável pela execução do payload principal. "Ao contrário do carregamento lateral de DLL padrão que depende da substituição simples de arquivos, este método substitui duas funções exportadas específicas dentro da biblioteca maliciosa", explicou a **Bitdefender**. "Isso cria um gatilho de dois estágios que controla a execução do loader do Deed RAT através do fluxo de controle natural do aplicativo host, evoluindo ainda mais as capacidades de evasão de defesa do carregamento lateral de DLL tradicional." Os ataques também envolveram movimento lateral para ampliar o acesso dentro da rede comprometida e estabelecer pontos de apoio redundantes. A segunda onda, quase um mês após a intrusão inicial, viu o adversário tentando implantar o TernDoor via Mofu Loader, um shellcode loader anteriormente atribuído ao GroundPeony, usando carregamento lateral de DLL. A empresa do Azerbaijão foi alvo pela terceira vez no final de fevereiro de 2026, com os atores de ameaças tentando implantar uma versão modificada do Deed RAT, indicando esforços para refinar seu arsenal de malware. Este artefato usa "sentinelonepro [.]com" para comando e controle (C2). ### Operação Sustentada e Adaptativa "Esta intrusão não deve ser vista como um comprometimento isolado, mas como uma operação sustentada e adaptativa conduzida por um ator que buscou repetidamente retomar e estender o acesso dentro do ambiente da vítima", concluiu a **Bitdefender**. "Em múltiplas ondas de atividade, o mesmo caminho de acesso foi revisitado, novos payloads foram introduzidos e pontos de apoio adicionais foram estabelecidos, ressaltando um alto grau de persistência e disciplina operacional."