Campanha de espionagem chamada PassiveNeuron tem explorado falhas em servidores Windows para invadir órgãos governamentais, bancos e indústrias no Brasil, além de outros países da América Latina, Ásia e África. Detectada pela Kaspersky em junho de 2024, a operação ganhou força a partir de dezembro do mesmo ano e segue ativa em 2025.
Os investigadores apontam que os ataques mais recentes ocorreram em agosto, sem revelar quais instituições foram afetadas. O nível de sofisticação da ameaça chama atenção pelo uso de persistência multicamadas, ofuscação agressiva e foco em infraestrutura crítica.
Campanha de espionagem ‘PassiveNeuron’ mira governos
Ataque foca em servidores SQL
A investigação indica que a maioria das máquinas comprometidas executa Windows Server com Microsoft SQL exposto. Três vetores sustentam a invasão: exploração de vulnerabilidades no próprio SQL, injeção de comandos maliciosos e força-bruta contra credenciais administrativas. Depois do acesso inicial, os criminosos tentam instalar web shells ASPX para criar portas dos fundos.
Ferramentas e técnicas avançadas
O arsenal principal reúne o backdoor modular Neursite (desenvolvido em C++), o loader .NET NeuralExecutor e instâncias do kit comercial Cobalt Strike. O Neursite opera apenas em horários específicos para se camuflar no tráfego corporativo, enquanto o NeuralExecutor carrega cargas adicionais via TCP, HTTP/HTTPS ou WebSockets.
Para garantir persistência, o grupo utiliza a técnica Phantom DLL Hijacking: DLLs com mais de 100 MB são posicionadas na pasta System32 com nomes que o Windows tenta carregar na inicialização. Antes de ativar o código malicioso, as DLLs validam o endereço MAC da máquina, evitando execução fora do ambiente da vítima.
Indícios de origem chinesa
A análise de pesquisadores da Kaspersky relacionou a PassiveNeuron a grupos chineses, com base em Táticas, Técnicas e Procedimentos (TTPs) semelhantes aos observados em campanhas ligadas aos APT31, APT27 e APT41. Elementos como o uso do GitHub para ocultar endereços C2 reforçam a suspeita, embora a atribuição seja considerada de baixa confiança.
Recomendações de segurança
Especialistas recomendam reduzir a superfície de ataque desativando serviços desnecessários, monitorar continuamente anomalias, validar entradas para prevenir SQL injection, usar autenticação multifator e implantar sistemas que detectem web shells em tempo real.
Para acompanhar outras atualizações sobre cibersegurança e proteger sua infraestrutura, acesse nossa editoria de Notícias e continue informado.
Crédito da imagem: Divulgação
