Organizações ucranianas estão na mira de uma nova campanha de espionagem cibernética atribuída, com forte probabilidade, a hackers ligados à Rússia. A operação foi identificada pela equipe de inteligência LAB52, da S2 Grupo, que observou a atividade em fevereiro de 2026 e apontou semelhanças com uma campanha anterior associada ao grupo Laundry Bear, também rastreado como UAC-0190 ou Void Blizzard.

De acordo com a análise, a ofensiva utiliza iscas com temas judiciais e beneficentes para instalar uma backdoor baseada em JavaScript, batizada de DRILLAPP, que roda por meio do navegador Microsoft Edge. O malware chama atenção por explorar recursos nativos do navegador para executar atividades de espionagem, incluindo upload e download de arquivos, captação de áudio pelo microfone e registro de imagens via webcam.

A campanha foi identificada em duas versões distintas. Na primeira, vista no início de fevereiro, o ataque começa com um arquivo de atalho do Windows, no formato LNK, que cria um arquivo HTA na pasta temporária do sistema. Em seguida, esse arquivo carrega um script remoto hospedado no Pastefy, um serviço legítimo de publicação de texto.

Para garantir persistência no sistema comprometido, os arquivos LNK são copiados para a pasta de inicialização do Windows, permitindo que sejam executados automaticamente após a reinicialização da máquina. Durante esse processo, a vítima visualiza uma URL com iscas relacionadas à instalação do Starlink ou à fundação beneficente ucraniana Come Back Alive, estratégia que ajuda a dar aparência legítima à atividade maliciosa.

Na etapa seguinte, o arquivo HTML é executado pelo Microsoft Edge em modo headless, ou seja, sem interface visível ao usuário. A partir daí, o navegador carrega o script ofuscado hospedado remotamente no Pastefy. O diferencial dessa técnica está no uso de parâmetros adicionais de execução, como --no-sandbox, --disable-web-security, --allow-file-access-from-files, --use-fake-ui-for-media-stream, --auto-select-screen-capture-source=true e --disable-user-media-security.

Na prática, esses parâmetros reduzem proteções do navegador e permitem que o código malicioso tenha acesso ao sistema de arquivos local, além de capturar câmera, microfone e até conteúdo da tela sem exigir interação do usuário. Isso transforma o navegador em uma espécie de ferramenta de acesso remoto improvisada, mas com uma aparência muito menos suspeita do que a de um malware tradicional.

Segundo a investigação, a DRILLAPP funciona como uma backdoor leve, projetada para facilitar o acesso a arquivos e a coleta de dados sensíveis por meio dos próprios recursos do navegador. Além disso, o malware gera uma impressão digital do dispositivo na primeira execução usando uma técnica conhecida como canvas fingerprinting. Esse identificador é então combinado com dados do país da vítima, inferido a partir do fuso horário da máquina.

O código verifica especificamente fusos horários ligados a países como Reino Unido, Rússia, Alemanha, França, China, Japão, Estados Unidos, Brasil, Índia, Ucrânia, Canadá, Austrália, Itália, Espanha e Polônia. Caso não encontre correspondência, o sistema define o país como Estados Unidos por padrão. Esse tipo de coleta ajuda os invasores a classificar os alvos e adaptar o controle da operação.

A segunda variante da campanha, detectada no fim de fevereiro de 2026, abandonou o uso de arquivos LNK e passou a explorar módulos do Painel de Controle do Windows, mantendo, porém, a mesma lógica geral de infecção. Nessa nova versão, a própria backdoor também recebeu melhorias, passando a suportar enumeração recursiva de arquivos, envio em lote de múltiplos arquivos e download arbitrário de conteúdo.

Um dos pontos mais relevantes destacados pela análise envolve a forma como os hackers contornam limitações do JavaScript. Em condições normais, scripts executados no navegador não conseguem baixar arquivos remotos livremente por razões de segurança.

Para superar essa restrição, os operadores da campanha passaram a explorar o Chrome DevTools Protocol (CDP), um protocolo interno presente em navegadores baseados em Chromium. Esse recurso só pode ser utilizado quando o navegador é iniciado com o parâmetro --remote-debugging-port habilitado.

Essa escolha técnica mostra que os invasores estão testando abordagens menos convencionais para evitar detecção por ferramentas tradicionais de segurança. Em vez de recorrer apenas a binários maliciosos clássicos, a operação transforma um processo amplamente confiável e rotineiro o navegador web em uma plataforma de espionagem.

Outro indício de que o malware ainda está em desenvolvimento apareceu em uma variante preliminar identificada em 28 de janeiro de 2026. Nessa versão inicial, o código apenas se comunicava com o domínio gnome[.]com, sem ainda baixar a carga principal hospedada no Pastefy. Isso sugere uma fase de teste ou amadurecimento da operação antes da implantação mais completa observada em fevereiro.

A avaliação do caso reforça uma tendência importante no cenário de ameaças: o uso de softwares legítimos e amplamente presentes nos ambientes corporativos como cobertura para ações de espionagem.

No caso da DRILLAPP, o Microsoft Edge oferece exatamente o tipo de camuflagem que os hackers procuram: é um processo comum, pouco suspeito, com permissões amplas e recursos avançados que, quando abusados, podem abrir caminho para coleta silenciosa de informações sensíveis.

Mais do que uma simples nova amostra de malware, a DRILLAPP mostra como campanhas de espionagem modernas estão evoluindo para explorar funcionalidades internas de aplicações confiáveis.

Para equipes de defesa, isso amplia o desafio de detecção, já que o comportamento malicioso pode ficar escondido dentro de processos legítimos do sistema operacional e do navegador, dificultando a diferenciação entre uso normal e atividade comprometida.