Grupo de espionagem CL-STA-1062 mira governos e infraestrutura crítica no Sudeste Asiático

26 de junho de 2026

Resumo

A Unit 42 atribuiu uma campanha contínua em 2025 contra governos e entidades estatais de energia do Sudeste Asiático ao CL-STA-1062, um cluster de língua chinesa ativo desde pelo menos março de 2022. A equipe de inteligência avalia com alto grau de confiança que o grupo é o mesmo ator rastreado pela Cisco Talos como UAT-7237. O grupo combina ferramentas comuns de mercado — como SoftEther VPN, Mimikatz, VNT e JuicyPotato — com o TinyRCT, um backdoor em C#/.NET anteriormente não documentado. Esse malware sob medida é entregue via injeção de AppDomainManager e oferece suporte à execução de comandos arbitrários, exfiltração de arquivos, captura de tela e uma rotina de autodestruição para apagar vestígios forenses.

A transição do uso de infraestrutura de hospedagem web de Taiwan para alvos governamentais e de energia crítica na região sinaliza uma ampliação no foco de espionagem na Ásia-Pacífico. Além disso, a mudança para o desenvolvimento de malwares personalizados sugere que o CL-STA-1062 continuará sendo uma ameaça persistente para os setores estratégicos da região.

Aprofundamento CEVIU

Aprofundamento

O cluster CL-STA-1062 refinou sua cadeia de ataque com uma injeção de AppDomainManager que explora a confiança do runtime .NET. O invasor empacota um binário legítimo e assinado com um arquivo de configuração malicioso e uma DLL personalizada. O sistema carrega o código sem suspeitas porque a execução ocorre dentro de um processo confiável. O dropper valida o contexto exigindo a pasta Downloads do usuário antes de descarregar o backdoor. Essa verificação bloqueia sandboxes de análise e atrasa a investigação forense.

O TinyRCT opera com comunicação HTTP simples mas usa criptografia simétrica de chave fixa. O backdoor registra a máquina no servidor de controle, mantém requisições periódicas a cada dez segundos e limpa artefatos via rotina de autodestruição baseada em utilitários nativos do Windows. A combinação de ferramentas abertas com código sob medida mostra um operador pragmático que evita assinaturas estáticas e foca em persistência silenciosa.

Por que isso importa

A migração do grupo para infraestrutura de energia e órgãos governamentais no Sudeste Asiático eleva o risco operacional para setores estratégicos. Os atacantes não buscam destruição imediata. Eles mantêm coleta contínua de inteligência e acesso lateral prolongado. Defensores precisam monitorar execuções anômalas de arquivos de configuração e restringir a criação de tarefas agendadas por binários não assinados.

A validação de ambiente e o uso de utilitários legítimos de tunelamento dificultam a detecção baseada apenas em perímetro. Equipes de SOC devem priorizar telemetria comportamental em endpoints e aplicar controle estrito sobre processos filhos de aplicações corporativas. A presença de chaves de criptografia previsíveis e intervalos de comunicação fixos gera indicadores recuperáveis para regras de detecção, desde que a ingestão de logs esteja ativa.

Perguntas frequentes

Como a técnica de AppDomainManager permite bypass de antivírus tradicionais?

A técnica altera o comportamento padrão do runtime .NET através de um arquivo de configuração adjacente ao executável. O sistema operacional considera o processo legítimo porque o binário principal possui assinatura digital válida. A DLL maliciosa executa em memória sem acionar varreduras baseadas em assinatura estática.

Qual o objetivo da verificação do diretório de execução no backdoor?

O malware exige a presença na pasta Downloads para confirmar que roda em uma máquina real de um usuário. A execução fora desse caminho indica ambiente de laboratório ou ferramenta de análise automatizada. O código encerra o processo imediatamente e preserva a infraestrutura do ataque.

Como equipes de segurança podem rastrear a exfiltração de dados do grupo?

Monitorar conexões HTTP recorrentes com payload cifrado e intervalos regulares gera alertas precisos em ferramentas de inspeção de tráfego. A criação de tarefas agendadas com nomenclatura genérica e o uso de comandos nativos para exclusão de arquivos também funcionam como indicadores operacionais. A correlação entre telemetria de rede e prevenção comportamental em endpoints contém a ameaça antes da extração completa.

O grupo utiliza ferramentas comerciais ou desenvolve seus próprios utilitários?

A campanha combina utilitários abertos consolidados com um backdoor proprietário. As ferramentas abertas aceleram o movimento lateral e o acesso remoto sem levantar assinaturas de produtos pagos. O código customizado assume a coleta de dados e o controle persistente para garantir sigilo na fase final.

Fontes

unit42.paloaltonetworks.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 26 de junho de 2026
Editoria: CEVIU Segurança da Informação