Ink Dragon explora IIS e SharePoint para implantar ShadowPad

Um grupo hacker associado à China, conhecido como Ink Dragon, tem intensificado ataques contra órgãos governamentais na Europa desde julho de 2025, mantendo ao mesmo tempo operações ativas no Sudeste Asiático e na América do Sul. O grupo, também identificado por pesquisadores como Jewelbug, CL-STA-0049, Earth Alux e REF7707, está em atividade ao menos desde março de 2023 e vem chamando a atenção pelo alto nível técnico e pela sofisticação de suas campanhas.

De acordo com pesquisadores da Check Point, as operações do Ink Dragon combinam engenharia de software avançada, procedimentos operacionais bem definidos e o uso estratégico de ferramentas nativas dos próprios sistemas atacados. Essa abordagem permite que os invasores se misturem ao tráfego legítimo das redes corporativas, tornando suas intrusões mais furtivas e difíceis de detectar. Segundo a empresa, dezenas de vítimas já foram impactadas, incluindo entidades governamentais e operadoras de telecomunicações na Europa, Ásia e África.

As atividades do grupo ganharam maior visibilidade em fevereiro de 2025, quando pesquisadores da Elastic Security Labs e da Unit 42, da Palo Alto Networks, detalharam o uso do malware FINALDRAFT (também conhecido como Squidoor), capaz de infectar sistemas Windows e Linux. Nos meses seguintes, o Ink Dragon também foi associado a uma invasão prolongada, com duração de cerca de cinco meses, contra um provedor de serviços de TI na Rússia.

As cadeias de ataque exploram serviços vulneráveis em aplicações web expostas à internet para implantar web shells, que posteriormente são usados para distribuir outras cargas maliciosas, como VARGEIT e beacons do Cobalt Strike. Essas ferramentas facilitam atividades de comando e controle (C2), reconhecimento do ambiente, movimentação lateral, evasão de defesas e exfiltração de dados.

Outro recurso relevante do arsenal do grupo é o malware NANOREMOTE, que utiliza a API do Google Drive para transferir arquivos entre os servidores de comando e os sistemas comprometidos. Embora essa ferramenta não tenha sido observada diretamente nas investigações mais recentes da Check Point, os pesquisadores acreditam que o grupo seleciona seus recursos de forma estratégica, de acordo com o ambiente da vítima e a necessidade de manter discrição.

O Ink Dragon também explora falhas relacionadas a chaves mal gerenciadas do ASP.NET para realizar ataques de desserialização do ViewState em servidores IIS e SharePoint vulneráveis. A partir disso, os hackers instalam módulos personalizados do ShadowPad, transformando os próprios servidores comprometidos em parte da infraestrutura de comando e controle. Essa técnica permite que um ambiente invadido seja reutilizado como ponto de apoio para novas campanhas, criando uma rede distribuída e resiliente baseada nas próprias vítimas.

Além disso, os invasores executam uma série de ações avançadas, como criação de tarefas agendadas para persistência, extração de credenciais da memória do sistema (LSASS), escalada de privilégios em nível de domínio e modificação de regras de firewall para permitir tráfego externo. Em pelo menos um caso, o grupo explorou uma sessão RDP inativa de um administrador de domínio para obter controle total do ambiente, incluindo a extração do banco de dados NTDS.dit.

Segundo os pesquisadores, o Ink Dragon não depende de um único backdoor, mas de um ecossistema modular de ferramentas, como loaders do ShadowPad, utilitários para execução de shellcode, ferramentas de dumping de credenciais e versões atualizadas do FINALDRAFT. Essa última utiliza APIs do Outlook e do Microsoft Graph para comunicação C2, escondendo comandos maliciosos em caixas de e-mail legítimas.

A Check Point também identificou a presença de outro grupo hacker, conhecido como RudePanda (REF3927), em alguns dos mesmos ambientes comprometidos, embora não haja evidências de cooperação direta entre os dois. A avaliação final dos pesquisadores é que o Ink Dragon representa um modelo avançado de ameaça, no qual cada sistema invadido se torna um nó ativo de uma infraestrutura global controlada pelos hackers, dificultando significativamente a contenção e a erradicação completa das intrusões.

Via - THN