APT28 Inova: Como o Grupo Hacker Russo Está Usando o Signal Para Espalhar Malware
No teatro de operações da ciberguerra moderna, a inovação é a principal arma. Os campos de batalha não são mais apenas físicos, mas digitais, e grupos de ameaças persistentes avançadas (APTs) atuam como forças de elite, constantemente aprimorando suas táticas. Em um alerta recente que acendeu luzes vermelhas em toda a comunidade de inteligência, o CERT-UA (Equipe de Resposta a Emergências de Computadores da Ucrânia) revelou uma evolução alarmante nas operações do APT28, um dos mais infames grupos de espionagem cibernética ligados ao estado russo. A novidade não está apenas no malware empregado, mas no uso de uma plataforma conhecida por sua segurança e privacidade, o Signal, como um canal secreto para comando e controle.
O ataque é um exemplo clássico da sofisticação do APT28, combinando vetores de entrada testados e comprovados, como documentos do Word maliciosos e a exploração de vulnerabilidades em servidores de webmail, com técnicas de evasão de ponta. Ao se apropriar de um serviço de mensageria criptografada, o grupo visa ocultar suas atividades do monitoramento de rede tradicional, tornando a detecção e a resposta significativamente mais difíceis. Esta análise aprofundada explora quem é o APT28, disseca as ferramentas deste novo arsenal – os malwares BEARDSHELL e COVENANT – e detalha a perigosa estratégia de usar o Signal como uma arma de espionagem.
![]() |
Imagem: BBC |
Quem é APT28? Um Retrato do "Fancy Bear"
Antes de mergulhar na campanha atual, é essencial entender o adversário. O APT28, também conhecido pelos nomes Fancy Bear, Sofacy Group, ou Strontium, é um grupo de espionagem cibernética que agências de inteligência ocidentais, incluindo as dos EUA, Reino Unido e Alemanha, atribuem à agência de inteligência militar russa, o GRU. Ativo desde pelo menos 2004, o grupo tem um histórico de ataques de alto perfil contra alvos de interesse estratégico para o governo russo.
Sua lista de "conquistas" é extensa e notória. O APT28 foi o principal ator por trás do infame hack do Comitê Nacional Democrata (DNC) durante as eleições presidenciais dos EUA em 2016. Eles também foram responsáveis por ataques contra a Agência Mundial Antidoping (WADA), o parlamento alemão (Bundestag), e diversos ministérios de defesa e relações exteriores em toda a Europa e OTAN. Seu foco principal sempre foi a coleta de inteligência, roubando documentos sensíveis, e-mails e credenciais de alvos políticos, militares e jornalísticos. A nova campanha, identificada pelo CERT-UA, é uma continuação direta dessa missão, mas com um arsenal atualizado para os desafios de 2025.
As Armas do Arsenal: BEARDSHELL e COVENANT
Todo ataque sofisticado depende de suas ferramentas. Nesta campanha, o APT28 demonstrou uma combinação inteligente de malware personalizado e ferramentas de código aberto, uma estratégia que otimiza recursos e dificulta a atribuição.
BEARDSHELL: A Ponta de Lança Personalizada
O BEARDSHELL é um malware que, segundo as análises iniciais, funciona como um downloader ou "dropper". Sua função principal é ser a primeira carga maliciosa a ser executada no sistema da vítima após a intrusão inicial (seja pelo documento do Word ou pela falha no webmail). Uma vez ativo, o BEARDSHELL é responsável por estabelecer uma base de operações na máquina comprometida. Suas tarefas incluem:
- Estabelecer Persistência: Garantir que o malware seja executado novamente toda vez que o computador for reiniciado.
- Coleta de Informações: Fazer um reconhecimento inicial do sistema, coletando dados como nome do computador, usuário, versão do sistema operacional e softwares de segurança instalados.
- Download do Próximo Estágio: A tarefa mais crítica do BEARDSHELL é contatar o servidor de Comando e Controle (C2) para baixar a próxima fase do ataque, que pode incluir backdoors mais completos, ferramentas de roubo de credenciais ou o framework COVENANT.
COVENANT: O Painel de Controle de Código Aberto
Aqui, a estratégia do APT28 se torna particularmente interessante. Em vez de depender exclusivamente de ferramentas customizadas, o grupo está utilizando o Covenant, um framework de C2 de código aberto, escrito em .NET. O Covenant é uma ferramenta legítima, popular entre pentesters e equipes de red team para simular ataques. Usá-lo em uma operação real oferece várias vantagens ao APT28:
- Negação e Atribuição Difícil: Como qualquer um pode baixar e usar o Covenant, sua presença em um sistema comprometido não aponta diretamente para o APT28. Isso cria uma camada de negação plausível.
- Funcionalidades Robustas: O Covenant já vem com uma vasta gama de recursos para controle de máquinas infectadas (chamadas de "Grunts"), execução de comandos, movimentação lateral na rede e exfiltração de dados.
- Evasão: O tráfego gerado pelo Covenant pode ser mais difícil de ser sinalizado como malicioso por sistemas de segurança, pois pode se misturar com outras atividades de rede que usam .NET.
A combinação do BEARDSHELL como uma ponta de lança discreta e o Covenant como um painel de controle robusto mostra um adversário pragmático e eficiente.
A Tática de Mestre: Usando o Signal Para se Ocultar
A parte mais inovadora desta campanha é o uso do Signal para as comunicações de C2. Tradicionalmente, malwares se comunicam com seus servidores através de protocolos como HTTP/HTTPS ou DNS, tentando mascarar seu tráfego para que se pareça com a navegação normal na web. No entanto, analistas de segurança experientes podem, eventualmente, identificar padrões nesse tráfego. O APT28 resolveu esse problema de uma forma radical: usando uma das plataformas de comunicação mais seguras do mundo como seu canal secreto.
Como funciona na prática?
- O malware no sistema da vítima (possivelmente o BEARDSHELL ou um componente baixado por ele) contém uma funcionalidade para interagir com a API do Signal ou um cliente de linha de comando.
- Ele se comunica com uma conta Signal específica, criada e controlada pelos operadores do APT28.
- Os comandos do atacante são enviados como mensagens simples via Signal para a máquina infectada. Ex:
"exec cmd.exe /c whoami"
. - A máquina infectada executa o comando e envia o resultado de volta como uma resposta na mesma conversa do Signal.
A genialidade dessa tática reside na criptografia ponta-a-ponta (E2EE) do Signal. Para qualquer ferramenta de monitoramento de rede (IDS/IPS, firewall), o tráfego é indecifrável. Tudo o que se vê é uma conexão legítima com os servidores do Signal. Não é possível ler o conteúdo das mensagens e, portanto, não se pode saber se são comandos maliciosos ou uma conversa legítima. Isso torna a detecção baseada em rede praticamente inútil contra este tipo de C2.
Conclusão: Defesa em um Mundo Criptografado
![]() |
Imagem: Stratagem |
A campanha do APT28 é um lembrete contundente de que a cibersegurança é um jogo de gato e rato em constante evolução. Os atacantes sempre buscarão o caminho de menor resistência e usarão nossas próprias ferramentas de privacidade e segurança contra nós. A defesa eficaz exige uma mudança de paradigma, saindo da vigilância de perímetro e focando na proteção do endpoint.
As lições são claras:
- Inteligência de Ameaças: Manter-se atualizado com os Indicadores de Comprometimento (IOCs) publicados por agências como o CERT-UA é crucial. Isso inclui os domínios e endereços de IP conhecidos usados pelos servidores de C2 do APT28.
- Filtragem de Egressão: A defesa mais eficaz contra C2s via Signal é questionar: "Quais máquinas na minha rede realmente precisam se comunicar com os servidores do Signal?". Servidores de banco de dados ou controladores de domínio, por exemplo, não têm motivos legítimos para isso. Bloquear esse tráfego de saída (egressão) para sistemas críticos pode neutralizar a ameaça.
- Foco no Endpoint (EDR): Se a rede está cega pela criptografia, a batalha deve ser vencida no endpoint (a máquina do usuário). Soluções de Detecção e Resposta de Endpoint (EDR) são projetadas para monitorar o comportamento dos processos. Um EDR competente poderia detectar a atividade suspeita do BEARDSHELL ou a execução de comandos incomuns originados de um processo ligado ao Signal, independentemente da criptografia da rede.
- Higiene de Segurança Fundamental: A intrusão inicial ainda depende de falhas básicas. Manter os sistemas de webmail atualizados, treinar vigorosamente os usuários para identificar phishing e implementar a Autenticação Multifator (MFA) em todos os lugares possíveis continuam sendo as defesas mais importantes para evitar que o ataque comece.
O uso de plataformas confiáveis para fins maliciosos não é uma tática nova, mas sua aplicação por um grupo do calibre do APT28 sinaliza uma tendência crescente. A defesa eficaz exige não apenas barreiras mais altas, mas uma visibilidade mais profunda e uma disposição para se adaptar tão rapidamente quanto o adversário.
Gostou desta análise? Compartilhe, comente e siga o NoirCode para mais mergulhos profundos nas tecnologias que estão moldando nosso futuro.
Você pode gostar:
- O CÓDIGO ASSANGE: DECIFRANDO O HOMEM QUE HACKEOU O MUNDO
- COMO PROTEGER SUA REDE COM FIREWALL: CONFIGURAÇÕES E BOAS PRÁTICAS
- JOGOS DE GUERRA (WARGAMES): O FILME QUE MOSTROU AO MUNDO O PODER DO HACKER TEEN E A INTELIGÊNCIA ARTIFICIAL EM PLENA GUERRA FRIA