Hackers utilizam backdoor MarsSnake em ataques contra organização na Arábia Saudita

Pesquisadores da ESET revelaram uma campanha cibernética sofisticada, conduzida por um grupo hacker alinhado à China, identificado como UnsolicitedBooker. O grupo tem como alvo uma organização internacional não revelada na Arábia Saudita, utilizando um backdoor inédito batizado de MarsSnake. Os ataques ocorreram de forma persistente ao longo de três anos consecutivos – 2023, 2024 e 2025 – evidenciando o alto nível de interesse do grupo no mesmo alvo.

A operação começou com e-mails de spear phishing, com falsas passagens aéreas da Saudia Airlines anexadas, como forma de atrair a vítima. O documento Word anexo continha macros VBA que, ao serem ativadas, instalavam o backdoor MarsSnake no sistema da vítima. Esse malware é capaz de executar comandos arbitrários e acessar ou modificar qualquer arquivo no disco, comunicando-se com um servidor remoto controlado pelos hackers.

O grupo UnsolicitedBooker já foi associado a outras ameaças conhecidas, como Space Pirates, e compartilha semelhanças com atividades maliciosas anteriores que utilizaram backdoors como Chinoxy, DeedRAT, Poison Ivy e BeRAT. A campanha mais recente utilizou um bilhete de voo falsificado, com base em um PDF público do site Academia.edu, como isca para o ataque. Ao ser aberto, o arquivo acionava a execução de um programa malicioso chamado smssdrvhost.exe, responsável por carregar o MarsSnake.

Além disso, a ESET também identificou outro grupo hacker chinês chamado DigitalRecyclers, associado às ameaças APT15, Ke3chang e BackdoorDiplomacy, conduzindo ataques contra entidades governamentais da União Europeia. Utilizando uma rede de relay conhecida como KMA VPN ORB para ocultar o tráfego, o grupo distribuiu backdoors como RClient, HydroRShell e GiftBox. O HydroRShell, apresentado em 2023, utiliza tecnologias como Google Protobuf e Mbed TLS para comunicação com o servidor de comando e controle (C&C), permitindo que os hackers executem comandos remotos e instalem cargas adicionais nas máquinas infectadas.

Segundo Matthieu Faou, pesquisador sênior de malware da ESET, tanto o MarsSnake quanto o HydroRShell são ferramentas completas de controle remoto, desenvolvidas para garantir total acesso aos dispositivos comprometidos. MarsSnake, até o momento, parece ser exclusivo do grupo UnsolicitedBooker, enquanto o HydroRShell tem sido utilizado exclusivamente pelo DigitalRecyclers.

Via - THN