Identificando um afiliado: SmokedHam, Qilin, alguns anúncios do Google e um pouco de bossware
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A Orange Cyberdefense relatou que, no início de 2026, um afiliado de ransomware distribuiu o backdoor SmokedHam por meio de anúncios maliciosos disfarçados de software utilitário legítimo. Em pelo menos uma intrusão confirmada, o backdoor foi posteriormente usado para entregar o ransomware Qilin. Pesquisadores atribuíram a atividade com confiança moderada ao afiliado de língua russa UNC2465, um agente de ameaça anteriormente associado às operações DarkSide, LockBit e Hunters International.
Investigação
A investigação revisou mais de 30 amostras de SmokedHam coletadas durante 2025 e 2026, identificando domínios de malvertising que dependiam de Cloudflare Workers para mascaramento de domínio, juntamente com infraestrutura hospedada na AWS. Analistas também documentaram o abuso de ferramentas legítimas como PuTTY e Total Commander para ajudar a atividade maliciosa a se misturar às operações administrativas normais. O relatório destacou ainda sobreposições táticas com atividades anteriormente vinculadas à UNC2465.
Mitigação
Os defensores devem bloquear os domínios de malvertising conhecidos, impor uma lista de permissão de aplicativos para ferramentas como RVTools e Remote Desktop Manager e monitorar o uso incomum de utilitários administrativos legítimos. A cobertura de detecção em endpoints também deve ser reforçada para identificar o comportamento do backdoor SmokedHam e atividades relacionadas pós-comprometimento. O uso de feeds de inteligência de ameaças baseados em nuvem pode melhorar ainda mais os esforços de detecção e enriquecimento.
Resposta
Se for identificada uma atividade suspeita, isole o host afetado imediatamente, colete artefatos forenses e procure por indicadores associados tanto ao SmokedHam quanto ao Qilin. Os investigadores também devem determinar se roubo de credenciais ou criptografia de ransomware já ocorreu. Recomenda-se uma caça às ameaças mais ampla nas infraestruturas relacionadas, juntamente com a ativação de procedimentos de resposta a incidentes de ransomware já estabelecidos.
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizar
Possível Compressão de Dados para Infiltração ou Exfiltração (via cmdline)
Visualizar
Execução Suspeita de GPG (via cmdline)
Visualizar
Strings Suspeitas do Powershell (via powershell)
Visualizar
Chamar Métodos .NET Suspeitos a partir do Powershell (via powershell)
Visualizar
Possível Tentativa de Abuso do Publicnode Ethereum como Canal C2 (via dns_query)
Visualizar
Possível Infiltração/Exfiltração de Dados/C2 via Serviços/Ferramentas de Terceiros (via proxy)
Visualizar
Possível Infiltração/Exfiltração de Dados/C2 via Serviços/Ferramentas de Terceiros (via dns)
Visualizar