Uma campanha de ciberespionagem está atacando organizações governamentais, financeiras e industriais no Brasil, América Latina, Ásia e África.
Batizada de “PassiveNeuron”, a operação usa implantes APT (Advanced Persistent Threat, ou Ameaça Persistente Avançada) inéditos que comprometem servidores Windows por meio de técnicas avançadas de evasão.
A Kaspersky, que detectou e monitora a campanha desde junho de 2024, registrou uma nova onda de ataques a partir de dezembro do mesmo ano. As infecções mais recentes foram identificadas em agosto de 2025, e incluem alvos na região latino-americana — embora a empresa de segurança não tenha divulgado quais países ou organizações específicas foram afetadas.
O que torna o PassiveNeuron particularmente preocupante é a combinação de persistência sofisticada, múltiplas camadas de ofuscação e foco em infraestrutura crítica de governos e empresas.
Servidores SQL são o alvo preferencial
A investigação da Kaspersky revelou que a maioria das máquinas comprometidas executa Windows Server. O vetor inicial de ataque envolve comprometer o Microsoft SQL, software de gerenciamento de banco de dados amplamente usado em ambientes corporativos.
Os atacantes conseguem executar comandos remotamente explorando o SQL de três formas principais, que incluem vulnerabilidades no software do servidor — falhas de segurança no próprio programa que permitem execução de código malicioso; SQL injection, técnica que insere comandos maliciosos disfarçados de consultas legítimas ao banco de dados; força bruta em contas administrativas, testando milhares de combinações de senha até obter acesso privilegiado ao banco de dados.
Após comprometer o SQL, os invasores tentam instalar um web shell ASPX. Ele atua como um script malicioso que funciona como porta dos fundos, permitindo execução remota de comandos. Em pelo menos um caso documentado, a solução da Kaspersky bloqueou repetidamente essas tentativas através de métodos como codificação Base64, codificação hexadecimal e scripts PowerShell. Diante da resistência das defesas, os atacantes partiram para implantes mais sofisticados.
Arsenal de três ferramentas
A campanha utiliza três implantes principais, frequentemente em combinação.
O primeiro é o Neursite, um backdoor modular customizado em C++, projetado especificamente para espionagem. É o implante mais potente do arsenal, com capacidades extensas de controle remoto. A configuração inclui lista de servidores C2 (Command and Control, infraestrutura controlada pelos atacantes), proxies HTTP, intervalos de tempo entre conexões e array de bytes indicando horários de operação — dias da semana e horas em que o backdoor está ativo.
O detalhe dos horários é particularmente interessante: o backdoor opera apenas em períodos específicos, provavelmente para evitar detecção. Atividade fora do horário comercial em servidores corporativos levanta suspeitas, então o malware se comporta como um “funcionário” que trabalha apenas no expediente.
O conjunto básico de comandos permite coletar informações do sistema, gerenciar processos e fazer proxy de tráfego através de outras máquinas infectadas, facilitando movimento lateral. O implante também pode carregar plugins sob demanda para execução de comandos shell, gerenciamento de arquivos e operações de socket TCP.
Há também o NeuralExecutor, um loader desenvolvido em .NET e protegido com o ofuscador ConfuserEx. Serve principalmente como plataforma para executar payloads adicionais recebidos pela rede. Implementa múltiplos protocolos de comunicação: TCP, HTTP/HTTPS, named pipes e WebSockets. Funciona essencialmente como lançador de segunda fase para malware mais especializado.
Além disso, os criminosos usam o Cobalt Strike, uma ferramenta comercial legítima de red teaming (testes de invasão) frequentemente abusada por cibercriminosos devido à sua versatilidade.
Persistência através de Phantom DLL Hijacking
O primeiro estágio da infecção coloca uma DLL maliciosa estrategicamente na pasta System32 do Windows. Exemplos de caminhos utilizados:
- C:WindowsSystem32wlbsctrl.dll
- C:WindowsSystem32TSMSISrv.dll
- C:WindowsSystem32oci.dll
DLL maliciosa estrategicamente na pasta System32 do Windows, usando técnica conhecida como Phantom DLL Hijacking.
A técnica explora o comportamento do Windows durante a inicialização: o sistema operacional tenta carregar determinadas DLLs que normalmente não existem. Ao criar arquivos maliciosos com esses nomes exatos nos locais onde o Windows procura, os atacantes garantem que o malware seja executado automaticamente sempre que o servidor for reiniciado.
Essas DLLs têm mais de 100 MB cada — tamanho artificialmente inflado com bytes inúteis para dificultar detecção. Soluções de segurança podem assumir que arquivos grandes são componentes legítimos do sistema.
Na inicialização, as DLLs maliciosas verificam os endereços MAC de todos os adaptadores de rede instalados. O endereço MAC é um identificador único de cada placa de rede. O loader calcula um hash de 32 bits de cada endereço MAC e compara com valores armazenados em sua configuração. Se nenhum endereço corresponder, o malware simplesmente encerra a execução.
Essa verificação impede que o malware seja executado em ambientes sandbox (ambientes isolados usados por pesquisadores de segurança) e garante que rode apenas nas máquinas das vítimas pretendidas. O nível de personalização indica interesse específico em organizações determinadas.
Cadeia de carregamento em múltiplos estágios
Após confirmar que está na máquina correta, o loader de primeiro estágio carrega uma DLL de segundo estágio armazenada em disco. Os nomes dessas DLLs variam entre máquinas, todas com tamanho artificialmente inflado acima de 60 MB.
A DLL de segundo estágio abre um arquivo de texto contendo o terceiro estágio — codificado em Base64 e criptografado com AES (Advanced Encryption Standard, padrão robusto de criptografia).
O terceiro estágio é outra DLL que lança um shellcode loader de quarto estágio. Esse shellcode é injetado em processos legítimos do Windows como WmiPrvSE.exe ou msiexec.exe, criados em modo suspenso para permitir a injeção antes da execução.
Finalmente, o shellcode carrega o payload definitivo: um arquivo PE (Portable Executable) convertido para formato executável customizado.
Investigação aponta para grupo chinês
Tanto o Neursite quanto o NeuralExecutor são ferramentas inéditas, nunca vistas em campanhas anteriores. A atribuição (identificação dos responsáveis) exigiu análise cuidadosa de várias pistas.
Nas amostras de 2024 do NeuralExecutor, todos os nomes de funções foram substituídos por strings prefixadas com “Супер обфускатор” — russo para “Super ofuscador”. Pesquisadores tratam esse tipo de evidência com cautela porque grupos cibercriminosos frequentemente inserem strings em idiomas que não falam para criar false flags (bandeiras falsas) e confundir investigações. A suspeita se confirmou: nas amostras de 2025, a string em russo desapareceu completamente.
As amostras de 2025 trouxeram pista mais confiável. O NeuralExecutor passou a usar a técnica Dead Drop Resolver para obter endereços de servidores C2. O malware acessa repositório público no GitHub e extrai uma string de configuração localizada entre dois delimitadores específicos: wtyyvZQY e stU7BU0R. A string é decodificada de Base64 e descriptografada com AES para revelar o endereço C2.
Esse método específico — usar GitHub com strings delimitadas — é popular entre grupos chineses. Os pesquisadores observaram frequentemente a mesma técnica na campanha EastWind, previamente conectada aos grupos APT31 e APT27.
Durante a investigação, os pesquisadores detectaram uma DLL chamada imjp14k.dll em tentativa de implantação do PassiveNeuron. A análise revelou o caminho PDB: G:BeeTree(pmrc)SrcDll_3F_imjp14kReleaseDll.pdb. Esse caminho específico foi mencionado em relatório da Cisco Talos sobre o grupo APT41, conhecido ator chinês.
As TTPs (Táticas, Técnicas e Procedimentos) gerais da campanha PassiveNeuron se alinham com as de grupos chineses. TTPs são mais difíceis de falsificar que strings ou artefatos isolados porque representam o “jeito de trabalhar” dos atacantes. Por essa razão, a Kaspersky atribui o PassiveNeuron a ator chinês, embora com baixa confiança.
Uma sofisticada campanha de ciberespionagem está atacando organizações governamentais, financeiras e industriais no Brasil, América Latina, Ásia e África. Batizada de “PassiveNeuron”, a operação usa implantes APT (Advanced Persistent Threat, ou Ameaça Persistente Avançada) inéditos que comprometem servidores Windows através de técnicas avançadas de evasão.
A Kaspersky, que detectou e vem monitorando a campanha desde junho de 2024, registrou uma nova onda de ataques a partir de dezembro do mesmo ano. As infecções mais recentes foram identificadas em agosto de 2025, e incluem alvos na região latino-americana — embora a empresa de segurança não tenha divulgado quais países ou organizações específicas foram afetadas.
O que torna o PassiveNeuron particularmente preocupante é a combinação de persistência sofisticada, múltiplas camadas de ofuscação e foco em infraestrutura crítica de governos e empresas.
Como se proteger?
Organizações devem priorizar a segurança de servidores, para isso, algumas medidas de segurança podem ser adotadas.
- Reduzir superfície de ataque: desabilite serviços desnecessários, fechar portas não utilizadas e limitar acesso remoto;
- Monitoramento contínuo: implemente detecção de anomalias em aplicações de servidor para identificar comportamentos suspeitos rapidamente;
- Proteção contra SQL injection: valide e limpe todas as entradas de dados em aplicações que interagem com bancos de dados;
- Detecção de web shells: implemente sistemas específicos para identificar scripts maliciosos em servidores web;
- Autenticação robusta: use autenticação multifator para acesso administrativo e aplicar princípio de privilégio mínimo.
