Pesquisadores da Kaspersky revelaram que o grupo de hackers IronHusky, de origem chinesa, está por trás de uma nova campanha cibernética direcionada a instituições governamentais da Rússia e da Mongólia. A ameaça envolve uma variante atualizada do trojan de acesso remoto (RAT) conhecido como MysterySnail, agora adaptado com novas capacidades de infiltração e persistência.
Grupo IronHusky usa malware aprimorado para espionagem cibernética
Nova versão do malware foca em persistência e leveza
Durante a análise dos ataques, especialistas da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky descobriram um implante malicioso distribuído através de um script MMC disfarçado de documento Word. Esse script instala o RAT no sistema da vítima, garantindo acesso remoto e contínuo.
Entre as cargas maliciosas, destaca-se um backdoor inédito que atua como intermediário entre os servidores de comando e os dispositivos comprometidos. Essa ferramenta é capaz de executar comandos de shell, transferir arquivos, criar processos, apagar dados e muito mais — tudo remotamente.
A versão mais recente do malware foi batizada de MysteryMonoSnail devido à sua nova estrutura, que foi simplificada para conter apenas um único componente, facilitando a evasão de ferramentas de detecção.
Histórico do grupo e táticas conhecidas
O grupo IronHusky é monitorado desde 2017, quando foi associado a operações de espionagem envolvendo negociações militares entre Rússia e Mongólia. Ao longo dos anos, os hackers têm demonstrado proficiência no uso de vulnerabilidades conhecidas, como o CVE-2017-11882 no Microsoft Office, e o CVE-2021-40449, uma falha crítica no driver do kernel Win32k do Windows.
Ambos os exploits foram usados para instalar RATs populares entre cibercriminosos de origem chinesa, incluindo os notórios PoisonIvy e PlugX, reforçando a ligação do grupo com outros atores avançados persistentes (APT) da região.
Malware suporta dezenas de comandos
A variante MysteryMonoSnail não apenas preserva as funcionalidades do malware original, como expande suas capacidades. Ela permite o gerenciamento remoto de serviços, execução de comandos personalizados, controle completo sobre processos do sistema, manipulação de arquivos e outras atividades maliciosas.
Essa flexibilidade torna o malware uma ferramenta poderosa para campanhas de espionagem prolongadas, principalmente quando combinada com técnicas de disfarce e persistência que dificultam a detecção e a remoção.
Relatório técnico completo disponível
A Kaspersky publicou um relatório técnico detalhado com indicadores de comprometimento (IOCs), amostras de código malicioso e análise do comportamento da nova variante MysterySnail. A empresa recomenda que organizações dos setores governamentais e militares reforcem suas defesas e monitorem atividades suspeitas, especialmente em regiões de interesse geopolítico.