Pesquisadores identificaram o grupo hacker chinês Silver Dragon, ativo em 2024, que utiliza o Google Drive para comunicação entre malware e operadores, visando órgãos governamentais.
O ataque acontece através de exploração de servidores vulneráveis e phishing com arquivos maliciosos disfarçados, usando ferramentas como Cobalt Strike e backdoor GearDoor para controle remoto e exfiltração de dados.
O método evita bloqueios ao usar serviços confiáveis e evidencia a sofisticação das ameaças atuais, ressaltando a importância de medidas de segurança para proteger sistemas governamentais.
Pesquisadores da Check Point Research identificaram um grupo hacker chinês conhecido como Silver Dragon, ativo desde 2024 e focado em atacar órgãos governamentais. Um detalhe inusitado é o uso do Google Drive para manter a comunicação entre o malware instalado e os operadores. Essa técnica aproveita a confiabilidade do serviço para evitar bloqueios de segurança.
O Silver Dragon utiliza principalmente dois métodos para invadir sistemas: exploração de servidores vulneráveis e campanhas de phishing com anexos maliciosos disfarçados em arquivos do Windows (.LNK). Ao abrir esses arquivos, comandos ocultos são executados sem que o usuário perceba, enquanto um PDF atrativo é apresentado como distração.
Após a invasão, o grupo emprega dois carregadores próprios, BamboLoader e MonikerLoader, que ativam o malware na memória do dispositivo. Para persistir, o ataque modifica serviços legítimos do Windows, como os de atualização e Bluetooth, garantindo que o código malicioso seja executado após reinicializações.
O payload principal é um beacon do Cobalt Strike, uma ferramenta originalmente para testes defensivos, amplamente utilizada de forma ilícita. A troca de dados com os atacantes ocorre via DNS tunneling, método que oculta informações dentro de requisições DNS.
O recurso mais crítico é o backdoor GearDoor, que usa o Google Drive para enviar e receber comandos por meio do upload e download de arquivos criptografados em pastas criadas automaticamente. Entre as funções estão a execução remota de comandos, exfiltração de dados e elevação de privilégios.
Complementando as ações, o grupo instala o SilverScreen, capaz de capturar a tela da vítima, e o SSHcmd, que oferece controle remoto via SSH. A análise indica fortes ligações com o grupo APT41, apontado pela similaridade de códigos e horários de compilação consistente com o fuso chinês (UTC+8).
Via
