Backdoor NotDoor: Como o APT28 usa o Outlook contra a OTAN

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Uma análise completa do novo malware do APT28 que transforma o Microsoft Outlook em uma ferramenta de espionagem.

Um dos grupos de hackers mais conhecidos do mundo voltou a ganhar destaque com uma nova ameaça direcionada a empresas estratégicas em países da OTAN. O APT28, também chamado de Fancy Bear ou Strontium, lançou uma campanha de espionagem sofisticada que explora uma ferramenta amplamente usada no dia a dia corporativo: o Microsoft Outlook.

A peça central dessa operação é o backdoor NotDoor, um malware projetado para se infiltrar em sistemas e transformar o e-mail corporativo em um canal secreto de controle e espionagem. Neste artigo, vamos explicar como essa ameaça funciona, desde o processo inicial de infecção até a execução de comandos maliciosos, e o que ela significa para a segurança digital de empresas e governos.

O uso de softwares de confiança como vetor de ataque mostra não apenas a criatividade técnica do APT28, mas também o impacto geopolítico de suas ações. Ao mirar diretamente em organizações da OTAN, o grupo reforça o papel da ciberespionagem em conflitos modernos.

o que C3A9 backdoor

O que é o APT28 e por que ele é uma ameaça constante?

O APT28 é um grupo de ciberespionagem patrocinado pelo Estado russo e ativo há mais de uma década. Também conhecido como Fancy Bear ou Strontium, ele já foi vinculado a diversos ataques contra governos, organizações militares, empresas de mídia e instituições de pesquisa.

Entre seus ataques mais conhecidos estão a invasão ao Comitê Nacional Democrata dos EUA em 2016 e operações contra parlamentos e ministérios da Defesa europeus. O grupo é notório por sua capacidade de criar malwares customizados, explorar vulnerabilidades e abusar de ferramentas legítimas para se manter invisível dentro dos sistemas.

A chegada do NotDoor reforça essa reputação, mostrando como o APT28 evolui constantemente suas táticas para evitar detecção e aumentar o alcance de suas operações.

NotDoor: o backdoor que vive dentro do seu e-mail

O backdoor NotDoor é um malware desenvolvido para se integrar ao Microsoft Outlook, monitorar mensagens recebidas e estabelecer um canal discreto de comunicação com os atacantes.

Diferente de muitos malwares que usam servidores de comando e controle tradicionais, o NotDoor aproveita a própria estrutura do Outlook para receber instruções escondidas em e-mails e exfiltrar dados sem chamar a atenção.

A engenhosa cadeia de infecção inicial

O ataque começa com uma técnica conhecida como DLL side-loading, que consiste em carregar uma biblioteca maliciosa (DLL) através de um programa legítimo. Nesse caso, os invasores utilizam o executável oficial do OneDrive (onedrive.exe) como isca.

Quando o sistema executa o OneDrive, ele carrega também a DLL manipulada pelo APT28, que instala o NotDoor sem levantar suspeitas. Essa abordagem é eficaz porque tira proveito da confiança em softwares de uso comum, dificultando a detecção por antivírus tradicionais.

Como o malware se comunica de forma invisível

Uma vez dentro do sistema, o NotDoor ativa macros VBA integradas ao Outlook. Essas macros entram em ação sempre que o programa é iniciado ou quando um novo e-mail chega à caixa de entrada.

O malware analisa os e-mails recebidos em busca de palavras-chave específicas — como “Relatório Diário” — que servem como gatilho para executar os comandos enviados pelos atacantes. Essa técnica permite que o controle do backdoor seja feito através de mensagens aparentemente inofensivas, sem gerar tráfego de rede suspeito.

Os comandos do invasor: controle total sobre a máquina

O NotDoor reconhece quatro comandos principais, cada um com funções críticas para os atacantes:

  • cmd: executa comandos arbitrários no sistema da vítima.
  • cmdno: roda comandos sem exibir resultados, ideal para tarefas furtivas.
  • dwn: baixa arquivos da internet para infectar ainda mais a máquina.
  • upl: faz upload de arquivos da vítima para os servidores controlados pelo APT28.

Na prática, esses comandos dão ao grupo controle total sobre os dispositivos comprometidos, permitindo desde a espionagem até a implantação de outros malwares.

A tendência de abusar de serviços legítimos para ataques

O caso do NotDoor não é isolado. Outros grupos de ciberespionagem, como o Gamaredon, também têm explorado serviços legítimos para mascarar suas atividades.

Esses adversários vêm utilizando plataformas como Telegraph, Microsoft Dev Tunnels e Cloudflare Workers para hospedar ou redirecionar cargas maliciosas. Essa estratégia dificulta a detecção porque o tráfego de rede parece legítimo, confundindo sistemas de defesa que confiam nesses provedores.

O abuso de serviços confiáveis representa uma evolução perigosa no cenário de ameaças, pois aumenta a resiliência dos ataques e amplia o tempo que os hackers conseguem permanecer dentro dos sistemas sem serem descobertos.

Como se proteger do NotDoor e de ameaças semelhantes

A ameaça representada pelo backdoor NotDoor mostra como grupos avançados podem transformar ferramentas essenciais de trabalho em armas de espionagem. A defesa contra esses ataques exige uma combinação de tecnologia, políticas de segurança e conscientização.

Aqui estão algumas medidas práticas:

  • Controle rigoroso de macros VBA: desabilite ou restrinja o uso de macros em aplicativos do Microsoft Office, permitindo apenas em casos absolutamente necessários.
  • Treinamento de conscientização: eduque funcionários para reconhecer riscos de e-mails suspeitos e a importância de seguir protocolos de segurança.
  • Uso de EDR (Endpoint Detection and Response): essas soluções detectam atividades anômalas, como DLL side-loading, oferecendo camadas adicionais de proteção.
  • Atualizações frequentes: mantenha o Microsoft Office, o Windows e demais softwares sempre atualizados para fechar brechas exploradas por atacantes.
  • Políticas de monitoramento: estabeleça auditorias e revisões constantes de logs de e-mail e sistemas críticos.

Chamada à ação: Revise agora as políticas de segurança de macros da sua organização e compartilhe este alerta com sua equipe de TI para fortalecer suas defesas contra o NotDoor e ameaças semelhantes.

Compartilhe este artigo