O grupo hacker conhecido como Harvester foi associado a uma nova evolução de sua operação de espionagem cibernética, desta vez utilizando uma variante para Linux do backdoor GoGra. A campanha, identificada por pesquisadores da Symantec e da VMware Carbon Black, tem como provável alvo organizações no Sul da Ásia, com indícios de atividade concentrada na Índia e no Afeganistão.

O diferencial técnico dessa operação está no uso de infraestrutura legítima da Microsoft como canal de comando e controle (C2). O malware utiliza a API Microsoft Graph e caixas de e-mail do Outlook para se comunicar com os operadores, o que permite contornar controles tradicionais de segurança de rede, já que o tráfego aparenta ser legítimo.

A cadeia de ataque começa com técnicas de engenharia social, onde as vítimas são induzidas a executar arquivos ELF disfarçados como documentos PDF. Após a execução, o dropper exibe um documento isca para manter a aparência de legitimidade, enquanto instala silenciosamente o backdoor no sistema comprometido.

Uma vez ativo, o GoGra em Linux estabelece comunicação contínua com um diretório específico em uma caixa de e-mail do Outlook — curiosamente nomeado como “Zomato Pizza”. A cada dois segundos, o malware consulta esse diretório utilizando requisições baseadas em OData, buscando instruções ocultas em e-mails com assunto iniciado por “Input”.

Quando encontra uma mensagem válida, o malware decodifica o conteúdo em Base64 e executa os comandos diretamente no sistema usando o interpretador “/bin/bash”. Os resultados da execução são então enviados de volta aos operadores por e-mail, utilizando o assunto “Output”. Após concluir a comunicação, o backdoor remove as mensagens utilizadas, dificultando a análise forense e a detecção.

Esse modelo de C2 baseado em serviços legítimos é uma técnica cada vez mais comum, conhecida como “living-off-the-cloud”, onde hackers exploram plataformas confiáveis para mascarar suas atividades. Nesse caso, o uso do Microsoft Graph API permite que o tráfego malicioso se misture com operações corporativas legítimas, reduzindo significativamente a eficácia de ferramentas tradicionais de detecção baseadas em perímetro.

O grupo Harvester já havia sido documentado anteriormente, em 2021, utilizando um implante chamado Graphon, também baseado na Microsoft Graph API, em campanhas de espionagem contra setores de telecomunicações, governo e tecnologia da informação na região. Em 2024, o grupo evoluiu seu arsenal com o desenvolvimento do GoGra, inicialmente focado em ambientes Windows.

A nova variante para Linux demonstra uma expansão estratégica das capacidades do grupo, permitindo atingir uma gama mais ampla de alvos, especialmente servidores e infraestruturas críticas que frequentemente operam nesse sistema operacional. A análise técnica revelou que, apesar das diferenças de plataforma, a lógica de comunicação C2 permanece praticamente idêntica entre as versões.

Outro ponto relevante é a identificação de erros de ortografia idênticos no código das versões Windows e Linux do malware, o que reforça a hipótese de que ambas foram desenvolvidas pelo mesmo autor ou equipe.

Do ponto de vista de segurança, o ataque evidencia uma tendência crescente de abuso de APIs e serviços cloud confiáveis para operações maliciosas. Esse tipo de técnica desafia modelos tradicionais de segurança baseados em bloqueio de tráfego, exigindo abordagens mais avançadas, como análise comportamental, inspeção de identidade e monitoramento de atividades em APIs.

Organizações são aconselhadas a reforçar controles sobre execução de binários desconhecidos, implementar monitoramento detalhado de chamadas à API Microsoft Graph, além de inspecionar padrões anômalos de acesso a caixas de e-mail corporativas. A detecção precoce desse tipo de ameaça depende, cada vez mais, da visibilidade sobre comportamentos e não apenas sobre assinaturas conhecidas.