Criminosos cibernéticos estão explorando cada vez mais o **Microsoft Teams** para atingir funcionários, se passando por pessoal de TI e help desk. O **KongTuke**, conhecido por vender acesso a redes para operadores de ransomware, adotou este método para obter rapidamente uma posição dentro das organizações. ### O Vetor de Ataque O ataque envolve convencer as vítimas a executar um comando malicioso do PowerShell, que baixa e executa o malware "ModeloRAT".  *O comando PowerShell usado nos ataques observados. Fonte: ReliaQuest* Pesquisadores da **ReliaQuest** observaram essa mudança nas táticas, notando que o **KongTuke** anteriormente dependia de iscas baseadas na web como "FileFix" e "CrashFix". De acordo com a **ReliaQuest**, "Esta atividade no Teams, que parece complementar, em vez de substituir, essa abordagem baseada na web, marca a primeira vez que vimos o KongTuke usar uma plataforma de colaboração para acesso inicial." ### Detalhes da Campanha A campanha está ativa desde pelo menos abril de 2026, com o **KongTuke** rotacionando entre cinco tenants do **Microsoft 365** para evadir a detecção. Para se passar por suporte de TI interno, o atacante usa truques de espaço em branco Unicode para fazer o nome de exibição parecer legítimo. O comando malicioso do PowerShell baixa um arquivo ZIP do **Dropbox** contendo um ambiente WinPython portátil, que então inicia o ModeloRAT baseado em Python (Pmanager.py). ### Capacidades do ModeloRAT O malware coleta informações do sistema e do usuário, captura screenshots e pode exfiltrar arquivos. A **ReliaQuest** destaca várias evoluções chave na versão do ModeloRAT usada nesta campanha: 1. **Arquitetura C2 Resiliente:** Um pool de cinco servidores, failover automático, caminhos de URL aleatórios e capacidade de autoatualização. 2. **Múltiplos Caminhos de Acesso:** Um RAT primário, um reverse shell e um backdoor TCP, rodando em infraestrutura separada. 3. **Persistência Expandida:** Chaves de execução (run keys), atalhos de inicialização (Startup shortcuts), launchers VBScript e tarefas agendadas em nível de SYSTEM.  *A tarefa agendada persistente. Fonte: ReliaQuest* Notavelmente, a tarefa agendada não é removida pela rotina de autodestruição do implant, permitindo que ela persista através de reinicializações do sistema. ### Estratégias de Mitigação Para se defender contra ataques iniciados pelo Teams, recomenda-se restringir a federação externa do **Microsoft Teams** usando listas de permissões (allowlists). Isso pode ajudar a bloquear tentativas de contato inicial. Administradores também devem alavancar os indicadores de comprometimento (IOCs) fornecidos no relatório da **ReliaQuest** para procurar proativamente por sinais de comprometimento e artefatos de persistência. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="imagem do artigo"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% do que a Mythos encontrou ainda não foi corrigido.</a></h2> <p>IA encadeou quatro zero-days em um único exploit que contornou os sandboxes do renderer e do sistema operacional. Uma onda de novos exploits está chegando.</p> <p>No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles funcionam e fecha o ciclo de remediação.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Garanta Sua Vaga</a></p> </div> </div>