A Check Point Research, divisão de Inteligência de Ameaças da Check Point® Software Technologies Ltd., descobriu uma campanha avançada de ciberespionagem conduzida por um ator de ameaças denominado Silver Dragon. Este grupo, com vínculos comprovados com a China, tem como alvo principal ministérios governamentais e empresas do setor público, principalmente no sudeste asiático e em diversas regiões da Europa.
Clique para receber notícias de Tecnologia e Ciências pelo WhatsApp
Ativo pelo menos desde meados de 2024, Silver Dragon se destaca por sua disciplina operacional e pelo uso de técnicas projetadas para acesso sustentado e coleta de inteligência estratégica.
Em outras palavras, evita ataques disruptivos ou com propósitos puramente financeiros. Diferentemente de outros grupos que implantam serviços maliciosos detectáveis, Silver Dragon emprega uma tática de sequestro de serviços legítimos do Windows. Os cibercriminosos interrompem e recriam serviços comuns, como os associados a Windows Update, Bluetooth ou utilitários do .NET Framework, para executar seu código sob nomes confiáveis. Esta técnica permite que processos maliciosos se camuflagem entre a atividade normal do sistema, o que torna extremamente difícil sua detecção em ambientes corporativos de grande escala.
GearDoor: o abuso de plataformas em nuvem confiáveis
O componente central desta campanha é um backdoor personalizado chamado GearDoor. Essa ferramenta utiliza o Google Drive como servidor de comando e controle (C2). Em vez de se comunicar com infraestruturas suspeitas, os sistemas infectados trocam arquivos com contas do Google Drive dedicadas, permitindo que o tráfego malicioso se misture com o uso legítimo da nuvem corporativa.
A equipe de Pesquisa da Check Point detalhou as fases críticas do ataque:
· Acesso inicial multivetor: o grupo combina a exploração de servidores expostos à internet com campanhas de phishing direcionadas que se passam por comunicações oficiais de entidades governamentais.
· Arsenal pós-exploração: além do GearDoor, utilizam ferramentas como SilverScreen para capturar screenshots de sessões ativas e SSHcmd para execução remota de comandos.
· Carga final: em múltiplas cadeias de infecção, o payload definitivo identificado foi o Cobalt Strike, configurado para que seu tráfego pareça despercebido através de protocolos de rede internos e DNS.
Após uma análise aprofundada dos padrões operacionais e técnicos, os pesquisadores da Check Point vincularam o Silver Dragon ao grupo APT41. Este veredicto se baseia na convergência de indicadores como as rotinas de descriptografia, sobreposições no instrumental utilizado e o alinhamento de suas atividades com o fuso horário da China (Horário Padrão da China).
LEIA TAMBÉM:
O Mistério das Sementes dos Deuses: por que Gohan do Futuro não recuperou seu braço?
Bomba de hidrogênio da China em Pequim redefine guerra térmica não nuclear
Qualcomm revoluciona PCs: Snapdragon X2 Elite e Extreme dominam benchmarks em 2026
Para mitigar esses riscos, a Pesquisa da Check Point recomenda priorizar a atualização de sistemas expostos, fortalecer as defesas de e-mail e monitorar de perto qualquer modificação no nível de serviços em ambientes Windows.