Dropping Elephant ataca com cadeia de loader temática chinesa e evasão avançada de defesas

O Dropping Elephant não está só atualizando ferramentas, está refinando um modelo operacional de espionagem de baixo impacto e alto retorno. A nova campanha, com foco no projeto GRES-3 da indústria energética chinesa, usa um LNK disfarçado como PDF para acionar uma cadeia em que cada etapa é projetada para evitar detecção em tempo real: PowerShell ofuscado com split strings (não apenas por obfuscação, mas para burlar heurísticas de análise estática), side-loading abusivo de Fondue.exe, binário legítimo da Microsoft raramente monitorado por EDRs, e carregamento direto do RAT via Donut, sem escrita em disco.

O ponto crítico aqui não é a novidade técnica isolada, mas a combinação orquestrada: o patching ativo de AMSI, WLDP e ETW *antes* do RAT executar significa que o endpoint perde visibilidade justamente quando mais precisa dela. Isso não é evasão genérica, é cegueira induzida no processo. O uso de Salsa20 com chave e nonce hardcoded também revela intenção de resistência a análise forense offline: mesmo com memória capturada, o payload só se revela após execução real, pois a decodificação depende do contexto de runtime (como a derivação do bot ID a partir de artefatos do host). Esse nível de operacionalização sugere que o grupo está migrando de ataques 'por oportunidade' para implantações 'por persistência estratégica'.

A comparação com a campanha de julho de 2025 documentada pela Arctic Wolf mostra uma mudança estrutural: o RAT antigo usava injeção em processos legítimos e dependia de DLLs externas; o novo é um PE nativo de 32 bits, totalmente autocontido, com CRT estático e reconstrução dinâmica de APIs. Antes, o side-loading usava VLC Media Player; agora, explora Fondue.exe, um binário menos conhecido, menos observado, mas igualmente assinado e confiável. O uso de Diaphora (não BinDiff) para confirmar linhagem prova que o grupo já conta com técnicas que quebram ferramentas tradicionais de comparação de código. A evolução não é incremental, é uma reescrita intencional para ignorar o que os defensores estão procurando.

Empresas do setor energético, especialmente as com operações na Ásia ou vínculos com fornecedores chineses, devem tratar essa campanha como um alerta de alta prioridade. O fato de o grupo usar temas chineses não indica origem, evidências apontam para ligação com a Índia, mas sim para uma tática deliberada de engenharia social baseada em geopolítica real. Mais grave: o padrão de persistência via tarefa agendada 'GoogleErrorReport' e o uso de C:\Users\Public\ como diretório de staging são comportamentos replicáveis em escala. Se um único ataque consegue desabilitar AMSI, WLDP e ETW antes de carregar o payload, então qualquer organização que não monitore alterações nesses controles em tempo real está exposta a uma infiltração silenciosa, mesmo com EDR instalado.