Uma falha de segurança de alta gravidade no software de videoconferência cliente **TrueConf** foi explorada na natureza como uma zero-day como parte de uma campanha que visou entidades governamentais no Sudeste Asiático, apelidada de **TrueChaos**. ### CVE-2026-3502: Execução Arbitrária de Código via Atualizações Maliciosas A vulnerabilidade em questão é a **CVE-2026-3502** (pontuação CVSS: 7.8), uma falta de verificação de integridade ao buscar o código de atualização do aplicativo. Isso permite que um atacante distribua uma atualização adulterada, resultando na execução de código arbitrário. A vulnerabilidade foi corrigida no cliente **TrueConf** para Windows a partir da versão 8.5.3, lançada no início deste mês. "A falha decorre do abuso do mecanismo de validação do atualizador do **TrueConf**, permitindo que um atacante que controla o servidor **TrueConf** on-premises distribua e execute arquivos arbitrários em todos os endpoints conectados", disse a **Check Point** em um relatório publicado hoje. Em outras palavras, um atacante que consiga obter controle do servidor **TrueConf** on-premises pode substituir o pacote de atualização por uma versão comprometida. Esta atualização maliciosa é então baixada pelo aplicativo cliente instalado nos endpoints dos clientes, pois não impõe validação adequada para garantir que a atualização fornecida pelo servidor não foi adulterada. ### Campanha TrueChaos e o Framework Havoc A campanha **TrueChaos** foi encontrada utilizando essa falha no mecanismo de atualização para, provavelmente, implantar o framework open-source de comando e controle (C2) **Havoc** em endpoints vulneráveis. A atividade foi atribuída com confiança moderada a um ator de ameaças com nexo chinês. Ataques explorando a vulnerabilidade foram registrados pela primeira vez pela empresa de cibersegurança no início de 2026, com a confiança implícita que o cliente deposita no mecanismo de atualização sendo utilizada para distribuir um instalador malicioso que, por sua vez, utiliza o side-loading de DLL para lançar um backdoor em DLL.  O implante em DLL ("7z-x64.dll") também foi observado realizando ações hands-on-keyboard para conduzir reconhecimento, estabelecer persistência e recuperar payloads adicionais ("iscsiexe.dll") de um servidor FTP ("47.237.15[.]197"). O objetivo principal de "iscsiexe.dll" é garantir a execução de um binário benigno ("poweriso.exe") que é deixado para fazer o side-load do backdoor. Embora o malware final exato entregue como parte do ataque não esteja claro, é avaliado com alta confiança que o objetivo final é implantar o implante **Havoc**. ### Nexo Chinês e Conexões com ShadowPad Os links do **TrueChaos** com um ator de ameaças com nexo chinês são baseados nas táticas observadas, como o uso de side-loading de DLL, **Alibaba Cloud** e **Tencent** para infraestrutura de C2, e o fato de que a mesma vítima foi alvo no mesmo período pelo **ShadowPad**, um backdoor sofisticado amplamente utilizado por grupos de hackers ligados à China. Além disso, o uso do **Havoc** foi atribuído a outro ator de ameaças chinês chamado Amaranth-Dragon em intrusões visando agências governamentais e de aplicação da lei em todo o Sudeste Asiático em 2025.  "A exploração da **CVE-2026-3502** não exigiu que o atacante comprometesse cada endpoint individualmente", disse a **Check Point**. "Em vez disso, o atacante abusou da relação de confiança entre um servidor **TrueConf** on-premises central e seus clientes. Ao substituir uma atualização legítima por uma maliciosa, eles transformaram o fluxo de atualização normal do produto em um canal de distribuição de malware em várias redes governamentais conectadas."