Coletor de Credenciais Cloud ELF do APT41 (Winnti): Infraestrutura de Typosquat no Alibaba e Linhagem de 6 Anos

Uma backdoor ELF x86-64 sem símbolos e sem detecção (0/72 no VirusTotal), atribuída ao APT41 (Winnti), tem como alvo cargas de trabalho Linux em nuvem na AWS, GCP, Azure e Alibaba Cloud. Ela coleta credenciais IAM/managed identity via APIs de metadados, as criptografa com AES-256 e as exfiltra pela porta SMTP 25 para um servidor C2 em 43[.]99[.]48[.]196 (Alibaba Cloud Singapore). Este servidor está por trás de três domínios typosquat registrados no NameSilo (ai[.]qianxing[.]co, ns1[.]a1iyun[.]top e ai[.]aliyuncs[.]help) que evitam detecção por Shodan/Censys através de validação seletiva de tokens EHLO.

O implante realiza movimento lateral peer-to-peer via transmissões UDP para 255.255.255.255:6006, representando o estágio mais recente em uma linhagem ELF do Winnti de 6 anos, que progrediu de PWNLNX (2020) e KEYPLUG (2023) para este harvester de credenciais de nuvem construído especificamente para esse fim. Os defensores devem monitorar a porta 25 de saída de cargas de trabalho que não são de e-mail, tráfego de broadcast UDP 6006, leituras de ~/.aws/credentials e caminhos equivalentes de credenciais de nuvem de processos não-padrão, e impor IMDSv2 na AWS para bloquear o abuso não autenticado de APIs de metadados.