Grupo Hacker CapFix Alveja Empresas Russas de Indústria e Aviação com Ataques Sofisticados
Especialistas da Positive Technologies detectaram uma nova onda de ataques do grupo CapFix contra organizações russas, utilizando táticas de phishing avançadas e explorando vulnerabilidades em softwares populares como Roundcube Webmail. As empresas dos setores industrial e de aviação foram os principais alvos.
MundiX News·13 de abril de 2026·7 min de leitura·👁 2 views
Especialistas da Positive Technologies registraram uma nova onda de ataques do grupo CapFix contra organizações russas. A campanha se estendeu do final de 2025 a março de 2026, e durante esse tempo, os hackers conseguiram atualizar seu conjunto de ferramentas e adquirir infraestrutura comprometida – presumivelmente através de uma vulnerabilidade crítica no cliente webmail Roundcube Webmail.
Os alvos dos ataques desta vez foram empresas dos setores industrial e de aviação. O esquema de infecção era o seguinte: a vítima recebia um e-mail de phishing com um anexo em PDF ou HTML, dentro do qual havia um link para baixar um arquivo com malware. Os e-mails eram disfarçados principalmente como mensagens oficiais de agências governamentais.
A eficácia especial dos ataques foi dada pelo fato de que a distribuição veio de servidores legítimos invadidos – em nome de fontes confiáveis. Os pesquisadores acreditam que o grupo obteve acesso a esses servidores por meio da exploração da CVE-2025-49113 – uma vulnerabilidade crítica no Roundcube Webmail. Essa vulnerabilidade permitiu que os atacantes comprometessem contas de e-mail e as utilizassem para enviar mensagens maliciosas para outros alvos.
Em dezembro do ano passado, especialistas analisaram detalhadamente um dos cenários de ataque do CapFix. Um documento PDF malicioso oferecia ao usuário para baixar novamente um arquivo que supostamente estava corrompido. Ao clicar, um arquivo com um script CHM foi baixado, que baixou um arquivo do domínio invadido sob o nome a.gif, renomeou-o para dmitry_medvedev.msi e o executou silenciosamente.
O arquivo MSI foi assinado com um certificado QILING Tech e fingiu ser o utilitário QILING Disk Master – quando iniciado, ele descompactou uma pasta em AppData, carregou um conjunto de DLLs lá e conectou-se ao servidor de controle por meio de um arquivo executável vulnerável ao DLL sideloading. Essa técnica permite que um invasor carregue uma DLL maliciosa no processo de um aplicativo legítimo, ganhando assim controle sobre o sistema.
Os pesquisadores escrevem que, em março de 2026, o grupo retomou a atividade com uma versão atualizada do malware CapDoor. Ele atua como um dos estágios de infecção: coleta informações sobre o sistema, faz capturas de tela, carrega arquivos sob o comando de seus operadores e também carrega o próximo payload, em particular, o trojan de acesso remoto SectopRAT. O CapDoor é um backdoor que permite aos atacantes manter acesso persistente ao sistema comprometido.
Além disso, os especialistas descobriram que o CapFix ataca não apenas empresas russas. Em novembro de 2025, mais de 10 amostras de CapDoor que foram carregadas por usuários do México, EUA, Holanda, França e vários outros países caíram em sandboxes públicas. Em campanhas anteriores, temas de criptomoedas foram usados para entregar o malware, bem como sites de phishing com tecnologia ClickFix, imitando serviços de reserva de hotéis.
O especialista do grupo de inteligência cibernética PT ESC, Alexander Badaev, observou que o grupo inicialmente parecia financeiramente motivado e ainda permanece assim em vários aspectos. No entanto, a escolha de alvos e ferramentas do CapFix lembra cada vez mais a escrita de grupos APT ou hacktivistas avançados:
"O CapFix foi inicialmente considerado um grupo com motivação financeira, e ainda o consideramos assim, dados os artefatos em e-mails de phishing e os ataques descobertos. Mas é impossível não notar que a escolha de alvos e ferramentas realmente correspondem mais às ações de grupos APT ou hacktivistas avançados, como evidenciado pelos ataques a empresas industriais e empresas de construção de aeronaves. Além disso, descobrimos quatro novos domínios associados ao CapFix que estão inativos no momento. Supomos que os hackers continuarão suas atividades e possivelmente expandirão a escala das operações."
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da Positive Technologies registraram uma nova onda de ataques do grupo CapFix contra organizações russas. A campanha se estendeu do final de 2025 a março de 2026, e durante esse tempo, os hackers conseguiram atualizar seu conjunto de ferramentas e adquirir infraestrutura comprometida – presumivelmente através de uma vulnerabilidade crítica no cliente webmail Roundcube Webmail.
Os alvos dos ataques desta vez foram empresas dos setores industrial e de aviação. O esquema de infecção era o seguinte: a vítima recebia um e-mail de phishing com um anexo em PDF ou HTML, dentro do qual havia um link para baixar um arquivo com malware. Os e-mails eram disfarçados principalmente como mensagens oficiais de agências governamentais.
A eficácia especial dos ataques foi dada pelo fato de que a distribuição veio de servidores legítimos invadidos – em nome de fontes confiáveis. Os pesquisadores acreditam que o grupo obteve acesso a esses servidores por meio da exploração da CVE-2025-49113 – uma vulnerabilidade crítica no Roundcube Webmail. Essa vulnerabilidade permitiu que os atacantes comprometessem contas de e-mail e as utilizassem para enviar mensagens maliciosas para outros alvos.
Em dezembro do ano passado, especialistas analisaram detalhadamente um dos cenários de ataque do CapFix. Um documento PDF malicioso oferecia ao usuário para baixar novamente um arquivo que supostamente estava corrompido. Ao clicar, um arquivo com um script CHM foi baixado, que baixou um arquivo do domínio invadido sob o nome a.gif, renomeou-o para dmitry_medvedev.msi e o executou silenciosamente.
O arquivo MSI foi assinado com um certificado QILING Tech e fingiu ser o utilitário QILING Disk Master – quando iniciado, ele descompactou uma pasta em AppData, carregou um conjunto de DLLs lá e conectou-se ao servidor de controle por meio de um arquivo executável vulnerável ao DLL sideloading. Essa técnica permite que um invasor carregue uma DLL maliciosa no processo de um aplicativo legítimo, ganhando assim controle sobre o sistema.
Os pesquisadores escrevem que, em março de 2026, o grupo retomou a atividade com uma versão atualizada do malware CapDoor. Ele atua como um dos estágios de infecção: coleta informações sobre o sistema, faz capturas de tela, carrega arquivos sob o comando de seus operadores e também carrega o próximo payload, em particular, o trojan de acesso remoto SectopRAT. O CapDoor é um backdoor que permite aos atacantes manter acesso persistente ao sistema comprometido.
Além disso, os especialistas descobriram que o CapFix ataca não apenas empresas russas. Em novembro de 2025, mais de 10 amostras de CapDoor que foram carregadas por usuários do México, EUA, Holanda, França e vários outros países caíram em sandboxes públicas. Em campanhas anteriores, temas de criptomoedas foram usados para entregar o malware, bem como sites de phishing com tecnologia ClickFix, imitando serviços de reserva de hotéis.
O especialista do grupo de inteligência cibernética PT ESC, Alexander Badaev, observou que o grupo inicialmente parecia financeiramente motivado e ainda permanece assim em vários aspectos. No entanto, a escolha de alvos e ferramentas do CapFix lembra cada vez mais a escrita de grupos APT ou hacktivistas avançados:
"O CapFix foi inicialmente considerado um grupo com motivação financeira, e ainda o consideramos assim, dados os artefatos em e-mails de phishing e os ataques descobertos. Mas é impossível não notar que a escolha de alvos e ferramentas realmente correspondem mais às ações de grupos APT ou hacktivistas avançados, como evidenciado pelos ataques a empresas industriais e empresas de construção de aeronaves. Além disso, descobrimos quatro novos domínios associados ao CapFix que estão inativos no momento. Supomos que os hackers continuarão suas atividades e possivelmente expandirão a escala das operações."
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
