Uma nova pesquisa revelou a existência de cerca de 200 domínios exclusivos de comando e controle (C2) conectados ao malware Raspberry Robin, um agente de ameaças que atua como corretor de acesso inicial para diversos grupos criminosos, incluindo aqueles com ligações à Rússia.
Pesquisadores identificam quase 200 domínios C2 exclusivos ligados ao Raspberry Robin
A evolução do Raspberry Robin
Desde sua detecção inicial em 2019, o Raspberry Robin, também conhecido como Roshtyak ou Storm-0856, tem sido um vetor para distribuir malwares como SocGholish, Dridex, LockBit, IcedID, BumbleBee e TrueBot. Além disso, ele também é chamado de worm QNAP devido ao uso de dispositivos QNAP comprometidos para disseminação de cargas maliciosas.
Nos últimos anos, sua cadeia de infecção passou a incluir novos métodos de distribuição, como o uso de arquivos compactados e scripts do Windows enviados via Discord. O malware também explora vulnerabilidades de dia zero para escalonamento de privilégios antes mesmo de serem divulgadas publicamente.
Expansão e novas descobertas
Pesquisadores da Silent Push, em colaboração com a Equipe Cymru, identificaram um endereço IP atuando como retransmissor de dados, interligando dispositivos QNAP infectados. A investigação revelou mais de 180 domínios C2 únicos, destacando a infraestrutura sofisticada usada pelos operadores do Raspberry Robin.
Notícias Relacionadas
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Ameaça persistente
Cadeia de infecção em múltiplos estágios dribla defesas com Agent Tesla e XLoader
Campanha de malware em estágios sequenciais usa e-mails falsos e scripts ofuscados para implantar RATs como Agent Tesla, Remcos e XLoader, escapando da detecção tradicional.
Os domínios C2 apresentam características específicas: são curtos e frequentemente rotacionados entre dispositivos infectados, utilizando uma técnica chamada “fluxo rápido”, dificultando sua derrubada. Os principais domínios de nível superior (TLDs) usados incluem .wf, .pm, .re, .nz, .eu, .gy, .tw e .cx, sendo registrados através de empresas como Sarek Oy, 1API GmbH, NETIM e CentralNic Ltd. A maioria deles usa servidores de nomes operados pela ClouDNS, uma empresa búlgara.
Conexões com grupos russos
Evidências apontam que o Raspberry Robin pode ter sido utilizado pelo grupo de hackers russos Cadet Blizzard para facilitar acessos iniciais em sistemas comprometidos. Além disso, o malware tem sido empregado por diversas organizações cibercriminosas com ligações à Rússia, incluindo LockBit, Dridex, SocGholish, DEV-0206, Evil Corp, FIN11, Clop Gang e Lace Tempest (TA505).
Com sua capacidade de evolução constante e o envolvimento de atores estatais e criminosos, o Raspberry Robin continua sendo uma ameaça persistente e sofisticada no cenário de segurança cibernética.
