Gh0st Rat

O grupo de cibercriminosos conhecido como Dragon Breath, também identificado como APT-Q-27, tem utilizado um carregador de múltiplas etapas chamado RONINGLOADER para disseminar uma variante modificada do trojan de acesso remoto Gh0st RAT. A campanha é direcionada principalmente a usuários de língua chinesa e utiliza instaladores NSIS trojanizados que se disfarçam como softwares legítimos, como Google Chrome e Microsoft Teams. Os pesquisadores de segurança da Elastic Security Labs destacam que a cadeia de infecção emprega diversas técnicas de evasão para neutralizar produtos de segurança populares na China. Entre as táticas utilizadas, estão a utilização de drivers assinados legitimamente e a manipulação do Microsoft Defender. O RONINGLOADER não apenas tenta eliminar processos de segurança, mas também injeta código malicioso em processos legítimos do Windows para ocultar suas atividades. Além disso, uma campanha paralela identificada pela Palo Alto Networks, chamada Campaign Chorus, também tem utilizado a falsificação de marcas para atingir usuários de língua chinesa, empregando uma cadeia de infecção mais sofisticada. Essas atividades representam um risco significativo, especialmente para organizações que operam em setores vulneráveis a ataques cibernéticos.

Um grupo de cibercriminosos com supostas ligações à China transformou a ferramenta de monitoramento de código aberto Nezha em uma arma de ataque, utilizando-a para distribuir o malware conhecido como Gh0st RAT. A atividade foi detectada pela empresa de cibersegurança Huntress em agosto de 2025 e envolveu uma técnica incomum chamada ’log poisoning’ para implantar um web shell em servidores vulneráveis. Os invasores conseguiram acesso inicial através de um painel phpMyAdmin exposto e vulnerável, alterando a linguagem para chinês simplificado. Após acessar a interface SQL do servidor, eles executaram comandos SQL para inserir um web shell PHP, que foi registrado em um arquivo de log. Isso permitiu que os atacantes utilizassem o web shell ANTSWORD para executar comandos e implantar o agente Nezha, que possibilita o controle remoto de máquinas infectadas. A maioria das vítimas está localizada em Taiwan, Japão, Coreia do Sul e Hong Kong, mas há também um número significativo em outros países, incluindo Brasil, Reino Unido e Estados Unidos. Este incidente destaca como ferramentas de código aberto podem ser mal utilizadas por cibercriminosos, representando um risco crescente para a segurança cibernética global.