O grupo de espionagem APT29, também conhecido como Midnight Blizzard ou Cozy Bear, intensificou suas operações contra alvos diplomáticos na Europa com uma sofisticada campanha de phishing. A ofensiva, identificada por especialistas da Check Point Research, introduz dois malwares inéditos: o GrapeLoader e uma nova versão fortemente ofuscada do WineLoader.
Espionagem russa avança com novo vetor de ataque digital
GrapeLoader: o novo carregador furtivo
Detectada inicialmente em janeiro de 2025, a campanha se disfarça sob a identidade de um Ministério das Relações Exteriores, convidando alvos para um suposto evento de degustação de vinhos. Os e-mails maliciosos são enviados de domínios como bakenhof[.]com e silry[.]com, contendo links que, se acessados por perfis de interesse, iniciam o download do arquivo wine.zip.
Esse arquivo compactado inclui três componentes principais:
- Um executável legítimo do PowerPoint (
wine.exe); - Uma biblioteca DLL necessária para a execução do programa;
- O componente malicioso
ppcore.dll, responsável por ativar o GrapeLoader.
A infecção ocorre através da técnica de DLL sideloading, que insere o malware na execução do software legítimo, evitando a detecção por antivírus. Após ativado, o GrapeLoader:
- Coleta informações do sistema;
- Garante persistência alterando o Registro do Windows;
- Conecta-se ao servidor de comando e controle (C2) para carregar o próximo estágio do ataque diretamente na memória.
Táticas furtivas de execução na memória
Uma das inovações do GrapeLoader é o uso da proteção de memória PAGE_NOACCESS e a inserção de um atraso estratégico de 10 segundos antes da execução do código malicioso, utilizando a função ResumeThread. Essas medidas dificultam a identificação do malware por sistemas de detecção como EDRs (Endpoint Detection and Response).
Notícias Relacionadas
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Ameaça persistente
Cadeia de infecção em múltiplos estágios dribla defesas com Agent Tesla e XLoader
Campanha de malware em estágios sequenciais usa e-mails falsos e scripts ofuscados para implantar RATs como Agent Tesla, Remcos e XLoader, escapando da detecção tradicional.
Além disso, o GrapeLoader substitui métodos anteriores utilizados pelo grupo, como o RootSaw, oferecendo mais sofisticação e evasão.
WineLoader: espionagem sob medida
Após a infiltração inicial, o WineLoader é injetado — disfarçado como uma DLL do VMware Tools — e atua como uma poderosa backdoor modular. Entre suas funções, destaca-se a coleta detalhada de dados do host, como:
- Endereços IP;
- Nome da máquina e do usuário;
- ID e nome do processo;
- Privilégios de acesso do sistema.
Esse conjunto de informações é crucial para que o grupo avalie o ambiente antes de executar fases adicionais da intrusão, especialmente evitando ambientes de análise como sandboxes.
A versão atual do WineLoader apresenta avanços notáveis em ofuscação, dificultando a engenharia reversa. Técnicas como duplicação de RVA, manipulação de tabelas de exportação e inserção de instruções redundantes tornam o malware quase indetectável. Segundo a Check Point, até mesmo ferramentas automatizadas como o FLOSS falharam ao tentar extrair e desofuscar strings dessa nova versão.
Campanha altamente segmentada e avançada
A operação do APT29 demonstra um alto grau de personalização, sendo direcionada a poucas vítimas e executada exclusivamente na memória. Por isso, os pesquisadores não conseguiram recuperar a carga útil completa nem os módulos secundários do WineLoader, tornando incerta a totalidade das suas capacidades.
Esses ataques reforçam a constante evolução do arsenal do grupo russo, cuja atuação exige camadas robustas de defesa cibernética, estratégias de detecção precoce e monitoramento contínuo.
