Malware Stealth Soldier usado em ciberespionagem

No norte da África, uma série de ataques de espionagem altamente direcionados foi realizada usando um backdoor recém-desenvolvido chamado Stealth Soldier.

A empresa de segurança cibernética Check Point, em um relatório técnico, descreveu o Stealth Soldier como um backdoor personalizado que opera principalmente para fins de vigilância. Suas funções incluem extrair arquivos, gravar atividades de tela e microfone, registrar pressionamentos de tecla e roubar informações do navegador.

A operação em andamento envolve o uso de servidores de comando e controle que imitam sites pertencentes ao Ministério das Relações Exteriores da Líbia. Os primeiros sinais desta campanha remontam a outubro de 2022.

Os ataques começam com alvos em potencial baixando binários de downloaders falsos por meio de táticas de engenharia social. Essas cargas intermediárias servem como um canal para obter o Stealth Soldier enquanto exibem simultaneamente um arquivo PDF de isca.

Acredita-se que o Stealth Soldier, um implante modular personalizado, seja usado com moderação. Ele capacita os recursos de vigilância coletando listas de diretórios e credenciais do navegador, capturando pressionamentos de tecla, gravando áudio do microfone, tirando capturas de tela, carregando arquivos e executando comandos do PowerShell. A Check Point revelou que o malware emprega diferentes tipos de comandos, incluindo plugins baixados do servidor de comando e controle e módulos internos.

Soldado furtivo ainda atualizado ativamente

A descoberta de três versões do Stealth Soldier sugere que os operadores o mantenham e atualizem ativamente.

Embora alguns componentes do malware não estejam mais acessíveis, os plug-ins de captura de tela e roubo de credenciais do navegador foram inspirados por projetos de código aberto encontrados no GitHub.

Além disso, a infraestrutura que suporta o Stealth Soldier mostra semelhanças com a infraestrutura usada em uma campanha de phishing anterior chamada Eye on the Nile, que teve como alvo jornalistas egípcios e ativistas de direitos humanos em 2019.

Este desenvolvimento recente sugere o ressurgimento potencial do ator de ameaça envolvido em Eye on the Nile. Isso indica que o grupo está focado em atividades de vigilância visando entidades egípcias e líbias.