Conteúdo
Uma nova campanha de ciberespionagem veio recentemente a público, visando organizações diplomáticas e governamentais em toda a Ásia do Sul. O ator da ameaça, conhecido como SideWinder, lançou esta operação em setembro de 2025, focando-se em entidades como uma embaixada europeia em Nova Deli, Índia, e várias instituições no Sri Lanka, Paquistão e Bangladesh. Esta campanha marca uma evolução nas táticas, técnicas e procedimentos (TTPs) do SideWinder, particularmente com a introdução de uma nova cadeia de infeção que utiliza ficheiros PDF e aplicações ClickOnce, complementando o seu uso anterior de explorações do Microsoft Word.
Investigadores da Trellix, Ernesto Fernández Provecho e Pham Duy Phuc, detalharam como os atacantes empregaram emails de spear-phishing em quatro ondas entre março e setembro de 2025. Estes emails continham anexos maliciosos disfarçados de documentos oficiais, com títulos como "Credenciais da Reunião Interministerial.pdf" ou "Conflito Índia-Paquistão - Análise Estratégica e Tática de Maio de 2025.docx." Os emails originaram-se de um domínio criado para imitar o Ministério da Defesa do Paquistão, aumentando o engano.
O vetor inicial de infeção nestes ataques envolve o envio de ficheiros PDF ou Word maliciosos. Os ficheiros PDF incluem um botão que incentiva os destinatários a descarregar e instalar a versão mais recente do Adobe Reader, mas ao clicar neste botão é desencadeado o download de uma aplicação ClickOnce a partir de um servidor remoto. Esta aplicação, "ReaderConfiguration.exe", é um executável legítimo da MagTek Inc., assinado com uma assinatura digital válida, tornando-a aparentemente confiável. Quando lançada, esta aplicação carrega lateralmente uma DLL maliciosa chamada "DEVOBJ.dll", que por sua vez descodifica e executa um carregador .NET chamado ModuleInstaller.
O ModuleInstaller desempenha um papel crucial na criação do perfil do sistema infetado e no download de cargas maliciosas adicionais, incluindo o StealerBot. O StealerBot é um implante avançado .NET capaz de lançar shells reversos, entregar malware adicional e recolher dados sensíveis como capturas de ecrã, teclas pressionadas, palavras-passe e ficheiros. Tanto o ModuleInstaller como o StealerBot foram identificados publicamente pela primeira vez pela Kaspersky em outubro de 2024, ligados a ataques anteriores do SideWinder que visavam infraestruturas estratégicas no Médio Oriente e África.
Ataques anteriores, reportados pela Acronis em maio de 2025, também visaram instituições governamentais no Sri Lanka, Bangladesh e Paquistão usando documentos maliciosos do Microsoft Office para entregar o StealerBot. A campanha mais recente adiciona sofisticação ao usar uma combinação de documentos PDF e Word, emails de phishing elaborados com contexto geopolítico e a exploração de software legítimo para carregar malware lateralmente. Notavelmente, os servidores de comando e controlo restringem o acesso à Ásia do Sul e geram caminhos de download dinâmicos, complicando os esforços de investigação.
A campanha reflete os esforços persistentes do SideWinder para refinar os seus métodos e evitar a deteção. A sua estratégia de phishing em múltiplas ondas demonstra um profundo conhecimento do panorama diplomático, criando iscos altamente específicos para maximizar o sucesso. A utilização de malware personalizado e aplicações legítimas assinadas para entrega de cargas destaca o seu foco na evasão e nos objetivos de espionagem a longo prazo. As descobertas da Trellix realçam a ameaça contínua que este grupo representa para organismos diplomáticos e governamentais numa região geopolítica sensível.
