APT41 Winnti ELF: Coletor de Credenciais de Nuvem, Infraestrutura de Typosquat Alibaba e Linha de 6 Anos

Uma backdoor ELF x86-64 sem detecção (0/72 VT), atribuída ao APT41 (Winnti), mira em cargas de trabalho de nuvem Linux em AWS, GCP, Azure e Alibaba Cloud. Ela coleta credenciais IAM/managed identity via metadata APIs, as criptografa com AES-256 e as exfiltra pela porta SMTP 25 para um servidor C2 em 43[.]99[.]48[.]196 (Alibaba Cloud Cingapura), escondido atrás de três domínios de typosquat registrados no NameSilo (ai[.]qianxing[.]co, ns1[.]a1iyun[.]top e ai[.]aliyuncs[.]help) que evitam detecção por Shodan/Censys através de validação seletiva de EHLO token.

O implante alcança movimento lateral peer-to-peer por meio de transmissões UDP para 255.255.255.255:6006, representando a fase mais recente de uma linha ELF Winnti de 6 anos, que progrediu de PWNLNX (2020) através de KEYPLUG (2023) até este coletor de credenciais de nuvem construído especificamente para esse fim. Defensores devem monitorar a saída na porta 25 de cargas de trabalho não relacionadas a e-mail, o tráfego de transmissão UDP 6006, leituras de ~/.aws/credentials e caminhos equivalentes de credenciais de nuvem por processos não-padrão, e impor IMDSv2 na AWS para bloquear o abuso não autenticado de metadata API.