Zoho Workdrive

Grupo de espionagem Mustang Panda ataca governo indiano com malware

O grupo de espionagem alinhado à China, Mustang Panda, está conduzindo campanhas contra o governo indiano e alvos do setor de hidrelétricas, utilizando novos malwares e uma plataforma de nuvem legítima como canal de comando. A Acronis Threat Research Unit identificou comprometimentos ativos nas redes do governo indiano, incluindo máquinas de funcionários administrativos seniores, e colaborou com o CERT-In para notificação e limpeza. O malware explora o Zoho WorkDrive, um serviço de armazenamento em nuvem comum no setor governamental da Índia, para enviar comandos e exfiltrar dados, disfarçando o tráfego como atividade normal da nuvem. Entre as ferramentas identificadas estão o SHARDLOADER, que carrega um DLL malicioso, o MINIRECON, uma variante do backdoor Toneshell, e o ZOHOMURK, que utiliza credenciais OAuth do Zoho para operar uma conta controlada pelo atacante. As campanhas foram entregues via spear-phishing, com temas relacionados a propostas de cooperação em hidrelétricas e memorandos entre instituições indianas e taiwanesas. O objetivo é obter informações sobre os planos hidrelétricos da Índia e suas relações de defesa com Taiwan. A Acronis recomenda que organizações governamentais e do setor energético fiquem atentas a iscas geopolíticas e ao uso indevido de serviços em nuvem.

Grupo norte-coreano ScarCruft utiliza novas ferramentas de malware

O grupo de ameaças cibernéticas norte-coreano conhecido como ScarCruft foi associado a uma nova campanha de malware chamada Ruby Jumper, que utiliza ferramentas sofisticadas para vigilância e controle de sistemas. A campanha, descoberta pela Zscaler ThreatLabz em dezembro de 2025, envolve o uso de um backdoor que se comunica via Zoho WorkDrive, além de implantes que utilizam mídias removíveis para transmitir comandos e invadir redes isoladas.

Quando um usuário abre um arquivo LNK malicioso, um comando PowerShell é executado, permitindo que o malware extraia múltiplos payloads embutidos. Entre os payloads estão o RESTLEAF, que utiliza Zoho WorkDrive para comunicação de comando e controle, e o THUMBSBD, que se disfarça como um arquivo Ruby e pode coletar informações do sistema, exfiltrar arquivos e executar comandos arbitrários. O THUMBSBD também distribui o FOOTWINE, que possui capacidades de keylogging e captura de áudio e vídeo.