O grupo de espionagem cibernética Mask APT, também conhecido como Careto, voltou à ativa com um arsenal avançado de malware multiplataforma. Entre 2019 e 2022, o grupo realizou ataques contra organizações na América Latina, utilizando métodos sofisticados de infecção e persistência em sistemas Windows, macOS, Android e iOS.
Um legado de ataques sofisticados do malware Mask APT
O Mask APT tem um histórico de operações desde 2007, quando foi documentado pela primeira vez pela Kaspersky. Conhecido por focar em organizações de alto perfil, como governos, entidades diplomáticas e instituições de pesquisa, o grupo lançou ataques direcionados através de campanhas de spear-phishing. Essas campanhas incluíam links maliciosos que exploravam vulnerabilidades de dia zero em navegadores, como o CVE-2012-0773.
Após a infecção inicial, as vítimas eram redirecionadas para sites inofensivos, como portais de notícias ou o YouTube, enquanto malwares eram implantados de forma oculta.
Novas táticas de persistência e exploração
Um dos métodos mais notáveis do Mask APT foi observado em 2022, quando o grupo explorou um componente do servidor de e-mail MDaemon chamado WorldClient. Por meio de extensões maliciosas, o grupo configurava entradas no arquivo WorldClient.ini, possibilitando a execução de comandos personalizados e a implantação de payloads adicionais na rede da organização.
Com o uso do backdoor FakeHMP (“hmpalert.dll”), o grupo explorava o driver legítimo HitmanPro Alert (“hmpalert.sys”), que, por não validar a legitimidade de DLLs carregadas, permitia a injeção de malware durante a inicialização do sistema. Esse backdoor oferece funcionalidades avançadas, como:
- Registro de pressionamentos de tecla
- Acesso a arquivos no sistema comprometido
- Implantação de outros malwares
- Gravação de áudio via microfone
Variantes Careto2 e Goreto: evolução do arsenal
A investigação revelou que o Mask APT também utilizou variantes aprimoradas do malware Careto. A versão Careto2, usada desde 2019, se destaca por sua capacidade modular, incluindo:
- Captura de tela periódica
- Monitoramento de modificação de arquivos
- Exfiltração de dados para o OneDrive do invasor
Já a ferramenta Goreto, desenvolvida em Golang, se conecta a um armazenamento no Google Drive para buscar comandos e executá-los remotamente. Suas funcionalidades incluem:
- Upload e download de arquivos
- Captura de tela e pressionamento de teclas
- Execução de comandos shell e payloads adicionais
Persistência e criatividade
Em ataques mais recentes, até 2024, o Mask APT continuou explorando o driver hmpalert.sys para manter sua persistência em sistemas comprometidos. Esse comportamento destaca a capacidade do grupo de criar técnicas criativas e personalizadas de infecção.
Segundo a Kaspersky, o Mask APT combina sofisticação técnica e criatividade ao manipular componentes legítimos e desenvolver módulos maliciosos que comprometem sistemas multiplataforma com eficácia.