SOC Prime Bias: High

17 Abr 2026 17:27
newspaper icon Orange Cyberdefense

Identificando um afiliado: SmokedHam, Qilin, alguns anúncios do Google e um pouco de bossware

Author Photo
SOC Prime Team linkedin icon Seguir
Identificando um afiliado: SmokedHam, Qilin, alguns anúncios do Google e um pouco de bossware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

A Orange Cyberdefense relatou que, no início de 2026, um afiliado de ransomware distribuiu o backdoor SmokedHam por meio de anúncios maliciosos disfarçados de software utilitário legítimo. Em pelo menos uma intrusão confirmada, o backdoor foi posteriormente usado para entregar o ransomware Qilin. Pesquisadores atribuíram a atividade com confiança moderada ao afiliado de língua russa UNC2465, um agente de ameaça anteriormente associado às operações DarkSide, LockBit e Hunters International.

Investigação

A investigação revisou mais de 30 amostras de SmokedHam coletadas durante 2025 e 2026, identificando domínios de malvertising que dependiam de Cloudflare Workers para mascaramento de domínio, juntamente com infraestrutura hospedada na AWS. Analistas também documentaram o abuso de ferramentas legítimas como PuTTY e Total Commander para ajudar a atividade maliciosa a se misturar às operações administrativas normais. O relatório destacou ainda sobreposições táticas com atividades anteriormente vinculadas à UNC2465.

Mitigação

Os defensores devem bloquear os domínios de malvertising conhecidos, impor uma lista de permissão de aplicativos para ferramentas como RVTools e Remote Desktop Manager e monitorar o uso incomum de utilitários administrativos legítimos. A cobertura de detecção em endpoints também deve ser reforçada para identificar o comportamento do backdoor SmokedHam e atividades relacionadas pós-comprometimento. O uso de feeds de inteligência de ameaças baseados em nuvem pode melhorar ainda mais os esforços de detecção e enriquecimento.

Resposta

Se for identificada uma atividade suspeita, isole o host afetado imediatamente, colete artefatos forenses e procure por indicadores associados tanto ao SmokedHam quanto ao Qilin. Os investigadores também devem determinar se roubo de credenciais ou criptografia de ransomware já ocorreu. Recomenda-se uma caça às ameaças mais ampla nas infraestruturas relacionadas, juntamente com a ativação de procedimentos de resposta a incidentes de ransomware já estabelecidos.

graph TB classDef action fill:#99ccff classDef malware fill:#ff6666 classDef tool fill:#cccccc classDef service fill:#ffd966 classDef impact fill:#ff9999 action_initial[“<b>Ação</b> – <b>T1659 Injeção de conteúdo (Malvertising)</b><br/>Instalador malicioso disfarçado de RVTools/Remote Desktop Manager”] class action_initial action action_user_exec[“<b>Ação</b> – <b>T1204 Execução do utilizador</b><br/>A vítima executa o instalador disfarçado”] class action_user_exec action malware_smokedham[“<b>Malware</b> – <b>T1127 Execução proxy de utilitários de desenvolvedor confiáveis</b><br/>Backdoor SmokedHam instalado”] class malware_smokedham malware action_embedded_payload[“<b>Ação</b> – <b>T1027.009 Payloads embebidos</b><br/>Payload do SmokedHam ofuscado dentro de utilitário legítimo”] class action_embedded_payload action action_polymorphic[“<b>Ação</b> – <b>T1027.014 Código polimórfico</b><br/>Variante usa empacotamento e mutação de código”] class action_polymorphic action action_rat[“<b>Ação</b> – <b>T1219 Ferramentas de acesso remoto</b><br/>SmokedHam estabelece C2 usando ferramentas legítimas”] class action_rat action tool_putty[“<b>Ferramenta</b> – <b>PuTTY</b><br/>Cliente SSH usado para C2”] class tool_putty tool tool_kitty[“<b>Ferramenta</b> – <b>KiTTY</b><br/>Variante de cliente SSH”] class tool_kitty tool tool_zoho[“<b>Ferramenta</b> – <b>Zoho Assist</b><br/>Ferramenta de suporte remoto usada para C2”] class tool_zoho tool action_c2_comm[“<b>Ação</b> – <b>T1102.001/002/003 Comunicação</b><br/>C2 via Cloudflare Workers e AWS”] class action_c2_comm action service_cloudflare[“<b>Serviço</b> – <b>Cloudflare Workers</b>”] class service_cloudflare service service_aws[“<b>Serviço</b> – <b>AWS</b>”] class service_aws service action_tunnel[“<b>Ação</b> – <b>T1572 Tunelização de protocolo</b><br/>Tráfego tunelizado através de serviços legítimos”] class action_tunnel action action_ssh_hijack[“<b>Ação</b> – <b>T1563.001 Sequestro de sessão de serviço remoto (SSH)</b><br/>Sequestro usando credenciais roubadas”] class action_ssh_hijack action action_rdp_hijack[“<b>Ação</b> – <b>T1563.002 Sequestro de sessão de serviço remoto (RDP)</b><br/>Sequestro de sessões RDP”] class action_rdp_hijack action action_exploit_remote[“<b>Ação</b> – <b>T1210 Exploração de serviços remotos</b><br/>Movimento lateral para hosts internos”] class action_exploit_remote action action_input_capture[“<b>Ação</b> – <b>T1056.003 Captura de entrada</b><br/>Captura de credenciais do portal web”] class action_input_capture action action_account_manip[“<b>Ação</b> – <b>T1098.004 Manipulação de contas</b><br/>Chaves SSH autorizadas adicionadas para persistência”] class action_account_manip action malware_qilin[“<b>Malware</b> – <b>Ransomware Qilin</b><br/>Encripta os dados da vítima”] class malware_qilin impact action_initial –>|leads_to| action_user_exec action_user_exec –>|leads_to| malware_smokedham malware_smokedham –>|leads_to| action_embedded_payload action_embedded_payload –>|leads_to| action_polymorphic action_polymorphic –>|leads_to| action_rat action_rat –>|uses| tool_putty action_rat –>|uses| tool_kitty action_rat –>|uses| tool_zoho action_rat –>|communicates via| action_c2_comm action_c2_comm –>|uses| service_cloudflare action_c2_comm –>|uses| service_aws action_c2_comm –>|enables| action_tunnel action_tunnel –>|enables| action_ssh_hijack action_ssh_hijack –>|enables| action_rdp_hijack action_rdp_hijack –>|enables| action_exploit_remote action_exploit_remote –>|enables| action_input_capture action_input_capture –>|enables| action_account_manip action_account_manip –>|enables| malware_qilin

Fluxo de Ataque

Simulação

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente