SOC Prime Bias: High

17 Apr 2026 14:27 UTC

Identificando um afiliado: SmokedHam, Qilin, alguns anúncios do Google e um pouco de bossware

Author Photo
SOC Prime Team linkedin icon Seguir
Identificando um afiliado: SmokedHam, Qilin, alguns anúncios do Google e um pouco de bossware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

A Orange Cyberdefense relatou que, no início de 2026, um afiliado de ransomware distribuiu o backdoor SmokedHam por meio de anúncios maliciosos disfarçados de software utilitário legítimo. Em pelo menos uma intrusão confirmada, o backdoor foi posteriormente usado para entregar o ransomware Qilin. Pesquisadores atribuíram a atividade com confiança moderada ao afiliado de língua russa UNC2465, um agente de ameaça anteriormente associado às operações DarkSide, LockBit e Hunters International.

Investigação

A investigação revisou mais de 30 amostras de SmokedHam coletadas durante 2025 e 2026, identificando domínios de malvertising que dependiam de Cloudflare Workers para mascaramento de domínio, juntamente com infraestrutura hospedada na AWS. Analistas também documentaram o abuso de ferramentas legítimas como PuTTY e Total Commander para ajudar a atividade maliciosa a se misturar às operações administrativas normais. O relatório destacou ainda sobreposições táticas com atividades anteriormente vinculadas à UNC2465.

Mitigação

Os defensores devem bloquear os domínios de malvertising conhecidos, impor uma lista de permissão de aplicativos para ferramentas como RVTools e Remote Desktop Manager e monitorar o uso incomum de utilitários administrativos legítimos. A cobertura de detecção em endpoints também deve ser reforçada para identificar o comportamento do backdoor SmokedHam e atividades relacionadas pós-comprometimento. O uso de feeds de inteligência de ameaças baseados em nuvem pode melhorar ainda mais os esforços de detecção e enriquecimento.

Resposta

Se for identificada uma atividade suspeita, isole o host afetado imediatamente, colete artefatos forenses e procure por indicadores associados tanto ao SmokedHam quanto ao Qilin. Os investigadores também devem determinar se roubo de credenciais ou criptografia de ransomware já ocorreu. Recomenda-se uma caça às ameaças mais ampla nas infraestruturas relacionadas, juntamente com a ativação de procedimentos de resposta a incidentes de ransomware já estabelecidos.

Fluxo de Ataque

Simulação

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me