Patchwork Utiliza DLL Side-Loading e tarefas agendadas em ataques ao setor de defesa Turco

O grupo hacker conhecido como Patchwork foi atribuído a uma nova campanha de spear-phishing (phishing direcionado) que tem como alvo empresas de defesa e empreiteiros militares da Turquia. O objetivo da operação é a coleta de inteligência estratégica em um momento geopoliticamente sensível.

"A campanha emprega uma cadeia de execução de cinco estágios, iniciada por meio de arquivos LNK maliciosos disfarçados de convites para conferências, enviados a alvos interessados em sistemas de veículos não tripulados", afirmou o Arctic Wolf Labs em um relatório técnico publicado esta semana.

A atividade, que também mirou um fabricante não identificado de sistemas de mísseis guiados de precisão, parece ter motivações geopolíticas claras. O momento dos ataques coincide com o aprofundamento da cooperação de defesa entre o Paquistão e a Turquia, além de recentes conflitos militares entre a Índia e o Paquistão.

O Patchwork, também conhecido por múltiplos codinomes como Dropping Elephant, Operation Hangover e Zinc Emerson, é avaliado como um grupo de espionagem patrocinado pelo estado, com origem na Índia. Ativo desde pelo menos 2009, o grupo hacker tem um longo histórico de ataques contra entidades na China, Paquistão e outros países do Sul da Ásia.

Há exatamente um ano, a equipe do Knownsec 404 documentou o Patchwork atacando entidades ligadas ao Butão para implantar o framework Brute Ratel C4 e uma versão atualizada de um backdoor chamado PGoShell. Desde o início de 2025, o grupo foi associado a várias campanhas contra universidades chinesas, utilizando iscas relacionadas a redes elétricas para distribuir um loader baseado em Rust, que por sua vez descriptografa e executa um trojan em C# chamado Protego, projetado para coletar uma vasta gama de informações de sistemas Windows comprometidos.

Outro relatório da empresa de cibersegurança chinesa QiAnXin, publicado em maio, apontou sobreposições de infraestrutura entre o Patchwork e o DoNot Team, sugerindo possíveis conexões operacionais entre os dois grupos de hackers.

A escolha da Turquia como alvo indica uma expansão no alcance do grupo. A infecção começa com arquivos de atalho do Windows (LNK) maliciosos, distribuídos por e-mails de phishing. Este é o ponto de partida para um processo de infecção de múltiplos estágios.

O arquivo LNK é projetado para invocar comandos do PowerShell, que são responsáveis por buscar cargas úteis adicionais de um servidor externo (expouav[.]org). Este domínio, criado em 25 de junho de 2025, hospeda uma isca em PDF que imita o material de uma conferência internacional sobre sistemas de veículos não tripulados, cujos detalhes reais estão hospedados no site legítimo waset[.]org.

"O documento PDF serve como uma isca visual, projetada para distrair o usuário enquanto o resto da cadeia de execução ocorre silenciosamente em segundo plano", disse a Arctic Wolf. O relatório contextualiza a importância estratégica do ataque: "Este ataque ocorre enquanto a Turquia comanda 65% do mercado mundial de exportação de VANTs (Veículos Aéreos Não Tripulados) e desenvolve capacidades críticas de mísseis hipersônicos, ao mesmo tempo em que fortalece os laços de defesa com o Paquistão durante um período de tensões elevadas entre Índia e Paquistão."

Entre os artefatos baixados está uma DLL maliciosa que é executada usando a técnica de DLL side-loading por meio de uma tarefa agendada. Isso leva à execução final de um shellcode que realiza um reconhecimento extensivo do sistema comprometido, incluindo a captura de telas e a exfiltração dos detalhes de volta para o servidor de comando e controle do invasor.

Os pesquisadores concluem que o ataque "representa uma evolução significativa das capacidades deste hacker, transitando das variantes de DLL x64 observadas em novembro de 2024 para os atuais executáveis PE x86 com estruturas de comando aprimoradas." Isso demonstra o contínuo investimento operacional e desenvolvimento do grupo Patchwork em suas ferramentas e táticas.

Via - THN