Pesquisadores da Kaspersky identificaram uma nova operação de ciberespionagem, batizada de PassiveNeuron, que tem como alvo organizações governamentais, financeiras e industriais na Ásia, África e América Latina.
O grupo por trás da campanha foi detectado pela primeira vez em novembro de 2024, quando ataques realizados em junho daquele ano contra entidades governamentais da América Latina e do Leste Asiático revelaram dois malwares inéditos: Neursite e NeuralExecutor.
Segundo a Kaspersky, a operação demonstra alto grau de sofisticação. Os invasores aproveitam servidores internos já comprometidos como infraestrutura intermediária de comando e controle (C2), o que dificulta a detecção. A técnica permite movimentação lateral, exfiltração de dados e até a criação de redes virtuais para acessar máquinas isoladas da internet.
Nova onda de infecções
A companhia observa uma nova leva de ataques associados ao PassiveNeuron desde dezembro de 2024, com atividade contínua até agosto de 2025. Embora o grupo ainda não tenha sido atribuído formalmente, indícios apontam para agentes de língua chinesa.
Ponto de entrada
Em pelo menos um dos incidentes investigados, os invasores obtiveram execução remota de comandos em um servidor Windows por meio do Microsoft SQL Server. O método exato não foi confirmado, mas a Kaspersky levanta três possibilidades: força bruta contra a conta de administração, exploração de falha de injeção SQL em aplicação hospedada no servidor ou vulnerabilidade ainda desconhecida no próprio software.
Após o acesso inicial, os atacantes tentaram instalar um web shell ASPX para executar comandos. Quando não tiveram sucesso, implantaram loaders em formato DLL no diretório System32, responsáveis por entregar três componentes:
- Neursite – backdoor modular em C++
- NeuralExecutor – implant .NET que baixa e executa cargas adicionais
- Cobalt Strike – ferramenta legítima de simulação de adversário
Características dos malwares
O Neursite usa configuração embutida para se conectar ao C2 via TCP, SSL, HTTP ou HTTPS. Entre suas funções estão coleta de informações do sistema, gerenciamento de processos em execução e criação de túneis de tráfego por máquinas já comprometidas, facilitando o deslocamento pela rede. O backdoor também pode carregar plugins que oferecem execução de comandos, controle de arquivos e operações de socket TCP.
Imagem: Internet
Já o NeuralExecutor apresentou mudanças significativas. Versões observadas em 2024 obtinham o endereço do C2 direto da configuração interna. Amostras coletadas em 2025 recorrem a um repositório no GitHub para buscar esse endereço, técnica conhecida como dead drop resolver.
Foco em servidores expostos
“A campanha PassiveNeuron se destaca por mirar principalmente máquinas servidoras expostas à internet, que funcionam como porta de entrada para organizações-alvo”, afirmam os pesquisadores Georgy Kucherin e Saurabh Sharma, da Kaspersky.
Até o momento, a operação continua ativa e sem atribuição definitiva.
Com informações de The Hacker News
