Uma operação de ciberespionagem batizada de PassiveNeuron tem atacado órgãos governamentais, instituições financeiras e indústrias no Brasil, em outros países da América Latina, além de alvos na Ásia e na África. A Kaspersky monitora a atividade desde junho de 2024 e identificou uma nova onda de infecções a partir de dezembro do mesmo ano. Os casos mais recentes foram registrados em agosto de 2025.
Como os invasores entram nos sistemas
A maioria das máquinas comprometidas roda Windows Server com o Microsoft SQL. Os criminosos obtêm acesso inicial de três formas:
• exploração de vulnerabilidades do próprio SQL;
• ataques de SQL injection que inserem comandos maliciosos em consultas legítimas;
• força bruta contra contas administrativas.
Depois disso, tentam instalar um web shell ASPX para executar comandos remotos. Quando a tentativa é bloqueada, partem para implantes mais avançados.
Ferramentas empregadas
A campanha utiliza três implantes principais em combinação:
Neursite – backdoor modular escrito em C++ com funções de espionagem e controle remoto. Ele se conecta a servidores de comando e controle (C2) em horários predeterminados para reduzir a chance de detecção.
NeuralExecutor – loader em .NET, ofuscado com ConfuserEx, que descarrega cargas adicionais usando TCP, HTTP/HTTPS, pipes nomeados e WebSockets.
Cobalt Strike – ferramenta comercial de red teaming amplamente reutilizada por agentes maliciosos para movimentação lateral e pós-exploração.
Persistência e cadeia de execução
O primeiro estágio da infecção aplica a técnica Phantom DLL Hijacking, colocando DLLs de mais de 100 MB (infladas com bytes inúteis) na pasta System32, com nomes como wlbsctrl.dll, TSMSISrv.dll e oci.dll. O Windows carrega esses arquivos durante a inicialização, garantindo que o malware persista a cada reinício.
Essas DLLs verificam endereços MAC na máquina vítima; se não houver correspondência com valores pré-definidos, o código encerra a execução, bloqueando análises em sandbox.
Imagem: Internet
Após a checagem, o loader dispara uma cadeia de múltiplos estágios que envolve:
• DLL de segundo estágio (>60 MB) guardada em disco;
• arquivo de texto com o terceiro estágio, codificado em Base64 e criptografado em AES;
• shellcode injetado em processos legítimos como WmiPrvSE.exe ou msiexec.exe até a liberação do payload final.
Possível origem chinesa
A Kaspersky encontrou indícios que apontam para um grupo sediado na China, embora a atribuição seja feita com baixa confiança. Entre as evidências estão:
• uso de repositórios no GitHub como Dead Drop Resolver, tática observada em campanhas ligadas aos grupos APT31 e APT27;
• presença de caminho PDB “G:BeeTree(pmrc)SrcDll_3F_imjp14kReleaseDll.pdb”, já associado ao APT41;
• semelhança de táticas, técnicas e procedimentos (TTPs) com operações anteriores de atores chineses.
Recomendações de mitigação
Especialistas sugerem reduzir a superfície de ataque desativando serviços desnecessários, implementar autenticação multifator para contas administrativas, validar entradas em aplicativos que interagem com banco de dados, monitorar servidores em busca de anomalias e empregar ferramentas específicas para detecção de web shells.
As investigações continuam, e a Kaspersky alerta que a combinação de ofuscação avançada, persistência robusta e foco em infraestrutura crítica torna o PassiveNeuron uma ameaça relevante para organizações públicas e privadas.
Com informações de TecMundo
