Vmware Airwatch

Pesquisadores da Palo Alto Networks, através da Unidade 42, identificaram uma nova família de malware chamada Airstalk, que parece estar ligada a uma operação de um suposto estado-nação, classificada como CL-STA-1009. O malware, desenvolvido em PowerShell e .NET, foi utilizado em um ataque de cadeia de suprimentos, visando provedores de terceirização de processos de negócios (BPO) e serviços gerenciados. Airstalk explora a API de Gerenciamento de Dispositivos Móveis (MDM) do VMware AirWatch (atualmente Workspace ONE UEM) para estabelecer comunicações de comando e controle (C2) de forma discreta. Ao abusar de pontos finais legítimos do AirWatch, o malware consegue evitar a detecção e se camuflar no tráfego empresarial confiável. A variante em PowerShell utiliza atributos de dispositivos personalizados para trocar mensagens C2 criptografadas, enquanto a versão em .NET apresenta funcionalidades mais avançadas, como suporte a navegadores adicionais e múltiplas threads para tarefas de C2. Ambas as versões demonstram um design modular e em desenvolvimento contínuo, com a assinatura de um certificado digital possivelmente roubado, indicando características de operações de ameaças persistentes avançadas. A análise sugere que a campanha representa um risco significativo, especialmente para provedores de serviços terceirizados, que são vistos como alvos valiosos para compromissos de cadeia de suprimentos.